Os invasores têm como alvo servidores MySQL e hosts Docker para plantar malware capaz de lançar ataques distribuídos de negação de serviço (DDoS), de acordo com um alerta de pesquisadores do Centro de Resposta a Emergências de Segurança AhnLabR.
De acordo com AhnLab, os ataques direcionados ao MySQL no Windows aumentaram em frequência com servidores MySQL vulneráveis infectados com ‘Ddostf’, um botnet de origem chinesa com capacidade DDoS que existe desde pelo menos 2016.
Atacantes maliciosos, AhnLab alertaverifique a Internet em busca de servidores MySQL acessíveis ao público usando a porta TCP 3306 e tente comprometê-los usando credenciais fracas ou explorando vulnerabilidades conhecidas.
Os invasores então carregam uma DLL maliciosa como uma biblioteca UDF (Função Definida pelo Usuário), que lhes permite executar comandos no sistema infectado e implantar e executar o malware Ddostf.
Visando ambientes Linux e Windows, o Ddostf alcança persistência e então coleta informações do sistema e as envia para o servidor de comando e controle (C&C). Em seguida, ele aguarda comandos para lançar ataques DDoS, como inundações SYN, UDP e HTTP GET/POST.
“Embora a maioria dos comandos suportados pelo Ddostf sejam semelhantes aos de bots DDoS típicos, uma característica distintiva do Ddostf é sua capacidade de se conectar a um endereço recém-recebido do servidor C&C e executar comandos lá por um determinado período”, explicou AhnLab.
O malware parece ter sido projetado exclusivamente para lançar ataques DDoS e os pesquisadores acreditam que o autor da ameaça está operando um serviço de aluguel de DDoS.
Malware compatível com OracleIV DDoS
Separadamente, a Cado Security está alertando em um novo relatório que os hosts Docker estão sendo alvo do malware compatível com OracleIV DDoS, por meio da Docker Engine API, uma API HTTP servida pelo Docker Engine.
Os invasores estão procurando instâncias expostas publicamente da API Docker Engine para implantar um contêiner malicioso que hospeda malware Python compilado como um executável ELF.
De acordo com Cado, as instâncias da API Docker Engine acidentalmente expostas têm sido um alvo popular para invasores nos últimos anos, especialmente para implantação de mineradores de criptomoedas. “Depois que um endpoint válido é descoberto, é trivial extrair uma imagem maliciosa e lançar um contêiner a partir dela para realizar qualquer objetivo concebível. Hospedar o contêiner malicioso no Dockerhub, a biblioteca de imagens de contêiner do Docker, agiliza ainda mais esse processo”, afirmou a empresa.
Cado disse que observou invasores fazendo solicitações HTTP POST para recuperar uma imagem maliciosa do Dockerhub e gerar um contêiner a partir dela. A imagem maliciosa do Docker, diz Cado, tem mais de 3.000 pulls e parece ser atualizada regularmente.
Integrado à imagem, o OracleIV suporta comandos para ataques de inundação UDP, UDP_PPS, SSL, SYN, HTTP/GET e SLOW, embora algumas das funções não estejam funcionando.