Новый Linux-троян использует Dogecoin API для поиска своих C&C-серверов

[INC.]

Времена, когда вредоносного ПО для Linux практически не существовало, давно канули в Лету. В настоящее время сообщения об угрозах для Linux появляются почти каждую неделю. К примеру, недавно специалисты ИБ-компании Intezer Labs представили подробный анализ нового трояна Doki, которым обзавелась хорошо известная киберпреступная группировка Ngrok, специализирующаяся на майнинге криптовалюты.

Группировка, активная с 2018 года, получила свое название из-за первоначального использования сервиса Ngrok для хостинга своих C&C-серверов. Однако, по данным Intezer Labs, в нынешнем году она изменила тактику и теперь атакует установки Docker, где хранятся незащищенные API.

В изученных исследователями атаках с помощью Docker API киберпреступники развертывали новые серверы внутри облачной инфраструктуры атакуемой компании. Эти серверы работали на Alpine Linux и были заражены вредоносным ПО для майнинга криптовалюты и трояном Doki.

Doki предоставляет атакующим контроль над вновь развернутыми серверами Alpine Linux и тем самым позволяет им следить, чтобы операция по добыче криптовалюты проходила как положено. Хотя в таком функционале нет ничего необычного, по словам исследователей, Doki все же сильно отличается от других подобных троянов.

В частности, исследователей заинтересовало, как Doki определяет URL-адрес C&C-сервера, к которому нужно подключиться для получения инструкций. В отличие от других подобных троянов, подключающихся к вшитым в исходный код IP- или URL-адресам, Doki использует динамический алгоритм DGA (domain generation algorithm). DGA позволяет трояну определять адрес C&C-сервера с помощью Dogecoin API. То есть, операторы трояна могут менять сервер, с которого он получает команды, осуществив всего одну транзакцию из подконтрольного им Dogecoin-кошелька.

Если DynDNS (ddns.net) получает отчет о злоупотреблении текущим URL-адресом C&C-сервера Doki и отключает его, операторам Ngrok достаточно лишь осуществить новую транзакцию, определить значение поддомена, настроить новую учетную запись DynDNS и получить поддомен.

Этот механизм является эффективным способом защиты от отключения бэкэнд-инфраструктуры Doki правоохранительными органами. Для того чтобы это сделать, правоохранителям необходимо захватить контроль над принадлежащим Ngrok кошельком Dogecoin, а это невозможно без криптографического ключа.

• Source: https://www.intezer.com/container-s...s-doki-infecting-docker-servers-in-the-cloud/

 

[ve1]

Специалисты компании Intezer Labs обнаружили нового Linux-вредоноса Doki, нацеленного на плохо защищенные установки Docker. Исследователи рассказывают, что за созданием этого бэкдор-трояна стоит группировка Ngrok, активная как минимум с 2018 года. Такое название группа получила в силу того, что часто использовала для размещения своих управляющих серверов одноименный сервис Ngrok.

Исследователи Intezer Labs рассказывают, что свежая кампания Ngrok нацелена на плохо защищенные установки Docker, где API оставлен в открытом доступе. Так, злоумышленники злоупотребляют Docker API, чтобы развернуть новые серверы в облачной инфраструктуре компании-жертвы, а затем эти серверы, работающие под управлением Alpine Linux, заражаются майнинговой малварью и Doki.

Судя по образцам, загруженным в VirusTotal, Doki существует примерно с января 2020 года, но малварь по-прежнему остается незамеченной для большинства сканеров, представленных на VirusTotal.

Основная задача Doki весьма проста, она заключается в том, чтобы хакеры могли беспрепятственно контролировать свои серверы Alpine Linux и следить за майнинговыми операциями. Но эксперты Intezer Labs говорят, что с технической точки зрения Doki сильно отличается от других похожих бэкдоров.

Дело в том, что вредонос определяет URL-адрес своего управляющего сервера весьма интересным способом. Обычно для этого другая малварь обращается к конкретным IP-адресам или жестко закодированным URL, но для определения адреса своего управляющего сервера Doki использует DGA (domain generation algorithm) и API криптовалюты Dogecoin. Происходит это следующим образом.

• Малварь запрашивает у dogechain.info API сумму, которая была отправлена (потрачена) с жестко закодированного кошелька, который находится под контролем злоумышленников. Формат запроса: https://dogechain.info/api/v1/address/sent/ enjaddress}.
• Для полученного в ответ значения используется SHA256.
• Первые 12 символов полученного таким образом шестнадцатеричного значения будут именем поддомена.
• В итоге адрес управляющего сервера формируется путем добавления к полученному поддомену ddns.net. К примеру, получится адрес формата 6d77335c4f23[.]ddns[.]n

По сути, хакеры могут изменить адрес своего управляющего сервера, с которого Doki получает команды, просто выполнив транзакцию из принадлежащего им кошелька Dogecoin. Если DynDNS (ddns.net) получает жалобу о злоупотреблении текущим URL-адресом, члены Ngrok просто осуществляют новую транзакцию, определяют значение поддомена, заводят новую учетную запись DynDNS и задействуют нужный поддомен.

Эксперты отмечают, что этот механизм весьма эффективно предотвращает захват бэкэнд-инфраструктуры Doki, ведь для этого правоохранителям понадобилось бы взять под контроль принадлежащий хакерам кошелек Dogecoin, а это вряд ли возможно без соответствующего криптографического ключа.

Источник: xakep.ru/2020/07/29/doki/