公開されたDocker APIを標的とする脅威アクターが、より危険な機能を備えた悪意のあるツールを更新し、複雑なボットネットの基盤を築く可能性があります。
この活動は、サイバーセキュリティ企業Trend Microによって6月に初めて報告されました。同社の研究者は、クリプトマイナーを設置し、Torネットワークを利用して身元を隠すスクリプトや悪意のあるコードを分析しました。
Akamaiの研究者は、マイナーを展開せず、侵害されたDocker APIへのアクセスをブロックできる、より複雑なペイロードを持つ新たなツールを発見しました。
感染の流れ
攻撃者は脆弱なホスト上で公開されたDocker API(ポート2375)を探し、base64でエンコードされたシェルコマンドを含む修正済みAlpine Linuxイメージを使ってコンテナ作成リクエストを送信します。
コンテナはデコードされたシェルコマンドを実行し、curlとtorをインストール、バックグラウンドでTorデーモンを起動し、SOCKS5プロキシ経由でAmazonのcheckip.amazonaws.comサービスにアクセスして接続確認を待ちます。
Torが有効になると、コンテナはTorの隠しサービス経由でcurlを使い、2段階目のシェルスクリプト(docker-init.sh)をダウンロードして実行します。
docker-init.shスクリプトは、攻撃者が管理する公開鍵を/root/.ssh/authorized_keysに追記することで、永続的なSSHアクセスを有効化します(マウントされたホストファイルシステム上)。
このスクリプトは、base64でエンコードされたcronジョブをホスト上に書き込み、毎分実行され、利用可能なファイアウォールユーティリティ(iptables、nftables、ufwなど)を使ってポート2375への外部アクセスをブロックします。
さらに、masscan、zstd、libpcap、torsocksなどのツールをインストールし、スキャン、拡散、回避を支援します。
次に、マルウェアはTor経由でZstandard圧縮されたGoバイナリ(system-linux-ARCH.zst)をダウンロードし、/tmp/systemに展開、実行権限を付与して実行します。
Goバイナリはドロッパーとして機能し、埋め込まれた2段階目のバイナリを抽出・実行し、ホストのutmpファイルを解析してログイン中のユーザーを特定します。
出典: Akamai
ボットネット構築の挙動
このバイナリは他の公開されたDocker APIをスキャンし、同じコンテナ作成手法で感染を試み、アクセス権を得た後は競合するコンテナを削除します。
この自己複製メカニズムは、通常外部からの指示を必要とせず自律的に新たなノードを感染させる、ボットネットエージェントの中核的な特徴です。
出典: Akamai
Akamaiは、デフォルトのルーター認証情報を使ったTelnet(ポート23)の悪用や、Chromeのリモートデバッグインターフェース(ポート9222)とのやり取りのための非アクティブなロジックの存在を指摘しています。
これは、将来的に認証情報の窃取、ブラウザセッションの乗っ取り、リモートファイルのダウンロード、分散型サービス拒否(DDoS)攻撃への拡張の可能性を示唆しています。
「基礎的な仕組みの一部から、この亜種が複雑なボットネットの初期バージョンであると考えられます」とAkamaiの研究者は述べており、「完全なバージョンはまだ発見されていない」と付け加えています。
Akamaiの発見は、機会的なDockerの悪用から、ラテラルムーブメントや永続化、(現時点では休止中の)認証情報窃取やブラウザ乗っ取りのオプションを備えた多面的な脅威への進化を示しています。
