Servidores Docker infectados con el malware Doki a través de Linux

En julio, los investigadores de Intezer detectaron un ataque que involucraba un malware de Linux no detectado y una técnica indocumentada, utilizando una billetera blockchain para generar nombres de dominio C&C.

  • Una campaña activa de botnet de minería de Ngrok, activa durante al menos dos años, se ha dirigido a servidores Docker expuestos en AWS, Azure y otras plataformas en la nube.
  • La campaña también está desplegando una puerta trasera completamente no detectada llamada Doki. El malware Doki de subprocesos múltiples es diferente de los criptomineros estándar que se implementan normalmente en este ataque.
  • La campaña se ha centrado principalmente en tomar el control de los servidores Docker mal configurados y explotarlos para configurar sus propios contenedores maliciosos con criptomineros que se ejecutan en la infraestructura de las víctimas.

El malware Doki ha logrado pasar desapercibido durante más de seis meses en cualquiera de los 60 motores de detección de malware en VirusTotal, a pesar de haber sido observado por primera vez el 14 de enero de 2020.

  • El malware utiliza una herramienta de escaneo, como zmap, zgrap y jq, para escanear la red en busca de puertos asociados con Redis, Docker, SSH y HTTP en sistemas comprometidos.