Penjahat siber semakin sering menargetkan server Docker Remote API yang terekspos untuk menyebarkan malware perfctl yang menjadi ancaman signifikan bagi organisasi yang menggunakan lingkungan container. Serangan ini melibatkan serangkaian proses terstruktur, mulai dari probing untuk menemukan server Docker yang rentan hingga penciptaan container dan eksekusi payload.
Malware ini memanfaatkan kelemahan konfigurasi Docker yang memungkinkan penyerang membuat container "kube-edagent" dari image "ubuntu:mantic-20240405" dengan pengaturan istimewa seperti "pid mode: host," yang memberikan visibilitas terhadap proses host. Setelah container terbentuk, payload yang dienkode dengan Base64 dieksekusi melalui Docker Exec API, lalu mencoba melarikan diri dari lingkungan container menggunakan perintah "nsenter." Script malicious yang di-decode mengelola proses, mengunduh binary berbahaya, dan menetapkan mekanisme persistensi seperti cron job untuk menjaga akses setelah reboot.
Sumber:
https://cybersecuritynews.com
/hackers-exploiting-docker
-remote-api-servers/
Malware ini memanfaatkan kelemahan konfigurasi Docker yang memungkinkan penyerang membuat container "kube-edagent" dari image "ubuntu:mantic-20240405" dengan pengaturan istimewa seperti "pid mode: host," yang memberikan visibilitas terhadap proses host. Setelah container terbentuk, payload yang dienkode dengan Base64 dieksekusi melalui Docker Exec API, lalu mencoba melarikan diri dari lingkungan container menggunakan perintah "nsenter." Script malicious yang di-decode mengelola proses, mengunduh binary berbahaya, dan menetapkan mekanisme persistensi seperti cron job untuk menjaga akses setelah reboot.
Sumber:
https://cybersecuritynews.com
/hackers-exploiting-docker
-remote-api-servers/