Un malware Linux indétectable a été repéré par les experts en cybersécurité d’Intezer. Ce nouveau malware Linux surnommé Doki exploite des techniques non documentées afin d’échapper à la détection et cible les serveurs Docker accessibles au public.

La campagne de botnet minier Ngrok en cours cible les serveurs hébergés sur des plateformes Cloud connus, comme Alibaba Cloud, AWS et Azure. Le botnet scanne Internet pour rechercher des points de terminaison d’API Docker mal configurés. Selon les experts, le malware Ngrok avait déjà infecté plusieurs serveurs vulnérables.

Le botnet minier Ngrok est actif depuis deux ans, ses opérateurs se sont concentrés principalement sur l’emploi abusif de serveurs Docker avec de mauvaises configurations afin de configurer des conteneurs exécutant des cryptomineurs. Les experts ont précisé que le Doki est un malware multithread nouveau, qui exploite une technique non documentée pour les communications C2 en abusant de la Blockchain de crypto-monnaie Dogecoin d’une façon unique.

Le botnet utilise zmap, zgrap et jq pour l’analyse du réseau ainsi que les ports associés à Redis, Docker, SSH et HTTP. Le code malveillant inclut une liste de plages d’adresses IP codées en dur et qui appartiennent à des serveurs cloud comme AWS et d’autres fournisseurs cloud locaux au niveau des régions étrangères comme la Chine, l’Autriche et le Royaume-Uni.

Le script de téléchargement permet le téléchargement et l’installation de divers binaires de logiciels malveillants, incluant les cryptomineurs. Les chercheurs ont constaté que le script peut permettre d’installer une porte dérobée entièrement indétectable, baptisée par les chercheurs Doki. La bibliothèque embedTLS est utilisée par le malware pour les fonctions cryptographiques ainsi que la communication réseau. Le malware arrive à exécuter les commandes de ses opérateurs, en exploitant un explorateur de blocs de crypto-monnaie Dogecoin afin de générer dynamiquement son domaine C2 en temps réel.

Pour ceux qui exécutent des instances Docker, il faudrait qu’ils évitent d’exposer les API Docker en ligne ou bien limiter l’accès aux utilisateurs de confiance en partant d’un réseau de confiance ou bien d’un VPN.