[ad_1]
Imagens do Docker com uma contagem de downloads de mais de 150.000 foram usadas para executar ataques distribuídos de negação de serviço (DDoS) contra uma dúzia de sites russos e bielorrussos administrados por organizações governamentais, militares e de notícias.
Acredita-se que atores pró-ucranianos, como hacktivistas, estejam por trás dos incidentes, provavelmente apoiados pelo exército de TI do país.
Os ataques cibernéticos DDoS visam prejudicar as operações enviando mais solicitações do que o alvo pode processar e tornando-as indisponíveis para clientes legítimos.
Segmente as APIs do Docker
Os 24 domínios visados incluem o governo russo, as forças armadas russas e a mídia russa, como a agência de notícias TASS.
Duas imagens do Docker envolvidas nos ataques foram detectadas por pesquisadores de ameaças da empresa de segurança cibernética CrowdStrike, que observaram que elas foram implantadas entre fevereiro e março de 2022.
A segmentação de APIs expostas do Docker não é novidade, já que gangues de mineração de criptomoedas como Lemon_Duck e TeamTNT fazem isso há anos.
Infelizmente, há um grande número de implementações do Docker mal configuradas ou mal protegidas, permitindo que os agentes de ameaças sequestrem os recursos disponíveis para seus propósitos.
A CrowdStrike notou que seus honeypots com APIs expostas do Docker Engine foram infectados por duas imagens maliciosas obtidas diretamente do repositório do Docker Hub.
As imagens são chamadaserickmnkl / stoppropaganda“S”abagayev / stop-russia“, e foram baixados 50.000 vezes e 100.000 vezes, respectivamente. Os números não refletem necessariamente o volume de hosts comprometidos, o que não está claro no momento.
“A imagem do Docker contém uma ferramenta de benchmarking HTTP baseada em Go chamada SHA256 hash bomber 6d38fda9cf27fddd45111d80c237b86f87cf9d350c795363ee016bb030bb3453 que usa solicitações baseadas em HTTP para testar um site. a imagem do Docker é criada.” – Golpe de multidão
Os alvos dos ataques DDoS foram escolhidos aleatoriamente no início, mas as versões posteriores das imagens incluíam uma seleção baseada em tempo e uma lista codificada de alvos, que foram atingidos em ataques de uma hora.
Devido ao tipo de operação e escopo do alvo, a CrowdStrike sugere que esta campanha é provavelmente apoiada pelo Exército de TI ucraniano ou hacktivistas semelhantes.
A implementação desses ataques DDoS pode levar a ações de retaliação por hackers pró-Rússia, o que pode levar a uma interrupção prolongada e prejudicial do serviço.
Para ajudar os administradores a detectar atividades indesejadas, a CrowdStrike forneceu a seguinte regra do Snort:
[ad_2]