Surveillez de près vos conteneurs : Doki est là !

Les chercheurs d'Intezer ont repéré Doki, un malware Linux totalement indétectable, exploitant des tactiques non documentées pour rester inaperçu et cibler les serveurs Docker accessibles au public.

Que devez-vous savoir sur ces attaques ?

  • Les cybercriminels recherchent des ports d'API Docker accessibles au public et les exploitent pour configurer leurs propres conteneurs et exécuter des activités malveillantes.
  • Les conteneurs créés lors de l'attaque sont basés sur une image alpine avec curl installé.
  • Les conteneurs créés lors de l'attaque sont configurés pour lier le répertoire /tmpXXXXXX au répertoire racine du serveur d'hébergement. Cela signifie que tous les fichiers du système de fichiers du serveur peuvent être consultés et même modifiés, avec les autorisations utilisateur appropriées, à partir du conteneur.
  • Les opérateurs abusent de Ngrok pour créer des URL uniques avec une courte durée de vie et les utilisent pour télécharger des charges utiles.

En savoir plus sur Doki

  • Doki est une porte dérobée Linux et qui exécute les codes reçus de ses opérateurs.
  • Il exerce le service DynDNS et un algorithme de génération de domaine (DGA) unique basé sur la blockchain de crypto-monnaie Dogecoin pour trouver le domaine de son C&C en temps réel.
  • Ce malware est une porte dérobée entièrement non détectée et a réussi à rester sous le radar pendant plus de six mois.

Comment vous protéger ?

L'essentiel est que les organisations exécutant Docker dans le cloud doivent s'assurer que l'API de l'interface de gestion n'est pas exposée à Internet.