มัลแวร์บนลีนุกซ์ “Doki” จ้องเจาะระบบอินสแตนซ์บนคลาวด์ของ Docker

มีผู้โจมตีกำลังเล่นงานเป้าหมายที่เป็นอินสแตนซ์ Docker บนคลาวด์ที่ตั้งค่าอย่างไม่ปลอดภัย ที่รันบนดิสโทรลีนุกซ์ ด้วยมัลแวร์สายพันธุ์ที่ตรวจจับได้ยากชื่อ Doki ซึ่งเป็นส่วนหนึ่งของขบวนการ Ngrok Cryptominer Botnet

ขบวนการดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2018 มีพฤติกรรมในการเชื่อมต่อกับระบบควบคุมจากศูนย์กลางแบบไดนามิก ที่ไม่ได้พึ่งพาโดเมนหรือกลุ่มไอพีจำเพาะตายตัว แต่หันมาใช้ประโยชน์จากบริการ Dynamic DNS แทน

เช่นของ DynDNS รวมกับอัลกอริทึมบล็อกเชนอย่าง Domain Generation Algorithm (DGA) ในการสร้างและหาตำแหน่งที่อยู่ของเซิร์ฟเวอร์สั่งการได้แบบเรียลไทม์ ทำให้ “ติดต่อกลับไปยังผู้โจมตี” ได้โดยหลบเลี่ยงการตรวจจับอย่างแนบเนียน

ซึ่งขบวนการนี้สามารถหลบหนีการตรวจจับได้ยาวนานกว่า 6 เดือน แม้จะมีการส่งตัวอย่างมัลแวร์ไปยังเอนจิ้นวิเคราะห์อย่าง VirusTotal ตั้งแต่วันที่ 14 มกราคมที่ผ่านมาก็ตาม แม้แต่ในปัจจุบันก็มีเอนจิ้นแอนตี้ไวรัสแค่ 4 ยี่ห้อเท่านั้นที่ตรวจจับได้

ที่มา : BleepingComputers

from:https://www.enterpriseitpro.net/sneaky-doki-linux-malware-infiltrates-docker-cloud-instances/