Tấn công khai thác Docker API qua Tor: Kẻ đào tiền ẩn mình trong bóng tối

Một chiến dịch tấn công tinh vi vừa được phát hiện, nhắm vào các máy chủ Docker Remote API bị phơi bày trên Internet. Lợi dụng lỗ hổng cấu hình và sức mạnh của mạng ẩn danh Tor, kẻ tấn công đã triển khai phần mềm đào tiền mã hóa XMRig một cách kín đáo và hiệu quả. Toàn bộ hoạt động được theo dõi qua một honeypot do nhóm nghiên cứu chủ động dựng lên.

Chuỗi tấn công: từ khai thác API đến triển khai mã độc

Bước 1: Truy cập API từ xa

Chiến dịch bắt đầu bằng một yêu cầu từ IP 198[.]199[.]72[.]27 gửi đến Docker Remote API để truy xuất danh sách container hiện tại.

Kết quả trả về không có container nào đang chạy. Ngay sau đó, kẻ tấn công gửi yêu cầu POST để tạo container mới với cấu hình độc hại.

Container được tạo từ image alpine và mount toàn bộ thư mục gốc của máy chủ (/:/hostroot:rw). Payload thực thi được mã hóa bằng base64 để che giấu hành vi, sau đó được giải mã và thực hiện qua shell.

Dòng lệnh này sẽ cài đặt Tor trong container và dùng nó để tải script độc hại từ một máy chủ .onion. Việc sử dụng socks5h đảm bảo toàn bộ DNS và lưu lượng truy cập đều đi qua mạng ẩn danh.

Bước 2: Khởi chạy container và tải script

Sau khi tạo xong, container được khởi động để kích hoạt script được tải qua Tor.

Script docker-init.sh sau khi tải về sẽ tiến hành một loạt thao tác nguy hiểm để chiếm quyền điều khiển máy chủ.

Nội dung script: Leo thang đặc quyền và cấy cửa hậu Script kiểm tra thư mục /hostroot, sau đó:

Cho phép root đăng nhập SSH.

Bật xác thực khóa công khai.

Thêm khóa SSH mã hóa vào authorized_keys.

Cài công cụ phục vụ tấn công

Các gói công cụ sau được cài đặt để hỗ trợ quá trình lây lan và điều khiển:

masscan: quét cổng.

libpcap, libpcap-dev: thu thập dữ liệu mạng.

zstd: giải nén.

torsocks: đảm bảo kết nối đi qua Tor.

Giao tiếp ẩn danh về máy chủ điều khiển

Container sử dụng curl qua torsocks để gửi thông tin hệ thống (IP, kiến trúc CPU) về máy chủ C2 thông qua một địa chỉ .onion.

Tải về payload chính

Mã độc chính được tải về dưới dạng file nén .zst, được tối ưu hóa theo kiến trúc hệ thống. Đây là bước chuẩn bị để triển khai phần mềm đào tiền.

Giải nén và thực thi payload

Sau khi tải về, tệp sẽ được giải nén bằng zstd, cấp quyền thực thi và khởi chạy.

Dropper triển khai XMRig

Dropper là một binary được lập trình sẵn để cài đặt XMRig. Nó chứa đầy đủ các thông số: ví, pool khai thác, lệnh khởi động.

Kỹ thuật này giúp loại bỏ sự phụ thuộc vào kết nối ngoài và giảm nguy cơ bị phát hiện.

Tổng hợp kỹ thuật theo MITRE ATT&CK

Chiến dịch này sử dụng nhiều kỹ thuật được hệ thống hóa theo MITRE ATT&CK, bao gồm cả leo thang đặc quyền, che giấu giao tiếp và persistence.

Khuyến nghị bảo vệ hệ thống container

Không mở Docker API ra ngoài công khai.

Chỉ dùng image chính thức.

Không chạy container với quyền root.

Giới hạn quyền truy cập theo địa chỉ IP nội bộ.

Thường xuyên kiểm tra container và image.

Công cụ hỗ trợ từ Trend Vision One™

Nền tảng Trend Vision One™ cung cấp khả năng phát hiện, phân tích và phản ứng trước các mối đe dọa hiện đại như cuộc tấn công này, nhờ vào AI và dữ liệu tình báo thời gian thực.

Truy vết và chỉ số IOC

Trend Micro cung cấp các công cụ săn tìm IOC và giải mã hoạt động đáng ngờ trong hệ thống:

eventSubId: 2 AND objectCmd:zstd AND objectCmd:"* -d *" AND objectCmd: "*/tmp/*" AND objectFilePath:"*bin/zstd"

IOC – Chỉ số nhận diện tấn công

URL và địa chỉ IP độc hại:

198[.]199[.]72[.]27
http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/static/docker-init.sh
http[:]//wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion/bot/add
http[:]//2hdv5kven4m422wx4dmqabotumkeisrstzkzaotvuhwx3aebdig573qd[.]onion:9000/binary/system-linux-$(uname -m).zst
gulf[.]moneroocean[.]stream:10128