-
09/04/2020
-
101
-
893 bài viết
Tin tặc lợi dụng Docker cấu hình sai để đào tiền ảo qua Tor
Các hệ thống Docker bị cấu hình sai đang trở thành mục tiêu trong một chiến dịch tấn công tinh vi, trong đó tin tặc lợi dụng khả năng truy cập không kiểm soát vào Docker API để triển khai phần mềm đào tiền điện tử XMRig. Toàn bộ hoạt động được ngụy trang bằng cách sử dụng mạng ẩn danh Tor, khiến việc phát hiện và truy vết trở nên vô cùng khó khăn.
Chiến dịch được các nhà nghiên cứu bảo mật tại Trend Micro phát hiện, bắt đầu bằng các yêu cầu gửi từ địa chỉ IP 198.199.72[.]27 đến Docker API mở công khai. Tin tặc thực hiện thao tác liệt kê toàn bộ container trên hệ thống mục tiêu. Nếu không có container đang hoạt động, chúng sẽ tạo một container mới sử dụng image “alpine” và đặc biệt nguy hiểm hơn, mount thư mục gốc của hệ điều hành máy chủ (/) vào container thông qua /hostroot. Việc này cho phép container truy cập trực tiếp vào hệ thống tệp của máy chủ vật lý hoặc máy ảo, từ đó phá vỡ mô hình cách ly của Docker và mở đường cho các hành vi thoát khỏi container (container escape).
Tiếp theo, kẻ tấn công chèn một đoạn shell script được mã hóa Base64 vào quy trình khởi tạo container. Script này có nhiệm vụ thiết lập Tor bên trong container. Việc sử dụng Tor giúp toàn bộ kết nối ra ngoài, bao gồm cả các truy vấn DNS được mã hóa và chuyển tiếp ẩn danh qua giao thức socks5h. Nhờ đó, tin tặc có thể giao tiếp với hạ tầng điều khiển (C&C) thông qua địa chỉ .onion mà không để lộ bất kỳ địa chỉ IP thực nào, làm giảm hiệu quả của các hệ thống phát hiện xâm nhập truyền thống.
Sau khi mạng Tor được thiết lập, container sẽ kết nối tới một máy chủ ẩn danh tại địa chỉ wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion để tải về một tập lệnh độc hại bổ sung. Đồng thời, một script có tên docker-init.sh sẽ được thực thi nhằm kiểm tra thư mục /hostroot đã được mount trước đó. Nếu tồn tại, script sẽ chỉnh sửa cấu hình SSH trên máy chủ, cho phép đăng nhập root từ xa và thêm khóa SSH của tin tặc vào tệp authorized_keys. Điều này cho phép duy trì quyền truy cập lâu dài vào hệ thống, ngay cả khi container bị gỡ bỏ.
Chiến dịch không dừng lại ở đó. Tin tặc còn cài đặt nhiều công cụ hỗ trợ như masscan để quét cổng mạng, libpcap để thu thập gói tin, torsocks để định tuyến lưu lượng qua Tor và zstd để giải nén các tệp cấu hình. Mục tiêu cuối cùng là tải xuống và chạy một tệp thực thi đóng vai trò dropper cho phần mềm đào tiền XMRig, cùng với cấu hình sẵn gồm địa chỉ ví, thuật toán và thông tin mining pool. Phần mềm sẽ âm thầm sử dụng tài nguyên hệ thống để khai thác tiền điện tử, gây ảnh hưởng lớn đến hiệu suất và chi phí vận hành của tổ chức bị tấn công.
Trend Micro nhận định chiến dịch này cho thấy sự kết hợp ngày càng phổ biến giữa các kỹ thuật ẩn danh hóa (Tor) và lạm dụng hạ tầng container/cloud trong các cuộc tấn công có chủ đích. Mục tiêu bị nhắm tới phần lớn là các công ty công nghệ, tổ chức tài chính và cơ sở y tế – những nơi thường triển khai hạ tầng container hóa rộng rãi nhưng đôi khi thiếu các biện pháp bảo mật chặt chẽ.
Trong khi đó, các nhà nghiên cứu tại Wiz cũng chỉ ra rằng, nhiều dữ liệu nhạy cảm như khóa API, token truy cập, thông tin cấu hình AI agent và notebook .ipynb đang bị công khai trên các kho mã nguồn. Chỉ riêng trong một đợt quét, họ đã phát hiện thông tin hợp lệ từ hơn 30 công ty, bao gồm cả các tập đoàn trong nhóm Fortune 100. Những dữ liệu tưởng chừng vô hại này lại có thể cung cấp thông tin trinh sát giá trị cho tin tặc trước khi thực hiện các cuộc tấn công ở cấp độ sâu hơn.
Các tổ chức cần đặc biệt lưu ý trước khi quá muộn:
Chiến dịch được các nhà nghiên cứu bảo mật tại Trend Micro phát hiện, bắt đầu bằng các yêu cầu gửi từ địa chỉ IP 198.199.72[.]27 đến Docker API mở công khai. Tin tặc thực hiện thao tác liệt kê toàn bộ container trên hệ thống mục tiêu. Nếu không có container đang hoạt động, chúng sẽ tạo một container mới sử dụng image “alpine” và đặc biệt nguy hiểm hơn, mount thư mục gốc của hệ điều hành máy chủ (/) vào container thông qua /hostroot. Việc này cho phép container truy cập trực tiếp vào hệ thống tệp của máy chủ vật lý hoặc máy ảo, từ đó phá vỡ mô hình cách ly của Docker và mở đường cho các hành vi thoát khỏi container (container escape).
Tiếp theo, kẻ tấn công chèn một đoạn shell script được mã hóa Base64 vào quy trình khởi tạo container. Script này có nhiệm vụ thiết lập Tor bên trong container. Việc sử dụng Tor giúp toàn bộ kết nối ra ngoài, bao gồm cả các truy vấn DNS được mã hóa và chuyển tiếp ẩn danh qua giao thức socks5h. Nhờ đó, tin tặc có thể giao tiếp với hạ tầng điều khiển (C&C) thông qua địa chỉ .onion mà không để lộ bất kỳ địa chỉ IP thực nào, làm giảm hiệu quả của các hệ thống phát hiện xâm nhập truyền thống.
Sau khi mạng Tor được thiết lập, container sẽ kết nối tới một máy chủ ẩn danh tại địa chỉ wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion để tải về một tập lệnh độc hại bổ sung. Đồng thời, một script có tên docker-init.sh sẽ được thực thi nhằm kiểm tra thư mục /hostroot đã được mount trước đó. Nếu tồn tại, script sẽ chỉnh sửa cấu hình SSH trên máy chủ, cho phép đăng nhập root từ xa và thêm khóa SSH của tin tặc vào tệp authorized_keys. Điều này cho phép duy trì quyền truy cập lâu dài vào hệ thống, ngay cả khi container bị gỡ bỏ.
Chiến dịch không dừng lại ở đó. Tin tặc còn cài đặt nhiều công cụ hỗ trợ như masscan để quét cổng mạng, libpcap để thu thập gói tin, torsocks để định tuyến lưu lượng qua Tor và zstd để giải nén các tệp cấu hình. Mục tiêu cuối cùng là tải xuống và chạy một tệp thực thi đóng vai trò dropper cho phần mềm đào tiền XMRig, cùng với cấu hình sẵn gồm địa chỉ ví, thuật toán và thông tin mining pool. Phần mềm sẽ âm thầm sử dụng tài nguyên hệ thống để khai thác tiền điện tử, gây ảnh hưởng lớn đến hiệu suất và chi phí vận hành của tổ chức bị tấn công.
Trend Micro nhận định chiến dịch này cho thấy sự kết hợp ngày càng phổ biến giữa các kỹ thuật ẩn danh hóa (Tor) và lạm dụng hạ tầng container/cloud trong các cuộc tấn công có chủ đích. Mục tiêu bị nhắm tới phần lớn là các công ty công nghệ, tổ chức tài chính và cơ sở y tế – những nơi thường triển khai hạ tầng container hóa rộng rãi nhưng đôi khi thiếu các biện pháp bảo mật chặt chẽ.
Trong khi đó, các nhà nghiên cứu tại Wiz cũng chỉ ra rằng, nhiều dữ liệu nhạy cảm như khóa API, token truy cập, thông tin cấu hình AI agent và notebook .ipynb đang bị công khai trên các kho mã nguồn. Chỉ riêng trong một đợt quét, họ đã phát hiện thông tin hợp lệ từ hơn 30 công ty, bao gồm cả các tập đoàn trong nhóm Fortune 100. Những dữ liệu tưởng chừng vô hại này lại có thể cung cấp thông tin trinh sát giá trị cho tin tặc trước khi thực hiện các cuộc tấn công ở cấp độ sâu hơn.
Các tổ chức cần đặc biệt lưu ý trước khi quá muộn:
- Rà soát toàn bộ Docker API đang mở ra internet là bước đầu tiên cần thực hiện. Nếu cần duy trì truy cập từ xa, phải thiết lập xác thực mạnh và giới hạn IP truy cập.
- Không mount trực tiếp thư mục hệ thống như “/” vào container, trừ khi có biện pháp bảo vệ rõ ràng. Đây là một trong những lỗ hổng nghiêm trọng nhất, tạo điều kiện để tin tặc thoát khỏi container và chiếm quyền hệ thống.
- Kiểm tra định kỳ cấu hình SSH. Vô hiệu hóa đăng nhập root từ xa và giám sát chặt chẽ các thay đổi trong tệp authorized_keys để kịp thời phát hiện hành vi cài cắm trái phép.
- Theo dõi lưu lượng mạng thường xuyên. Đặc biệt chú ý đến các kết nối ẩn danh qua Tor và hoạt động bất thường liên quan đến container lạ. Càng phát hiện sớm, nguy cơ bị chiếm dụng tài nguyên để đào tiền hoặc phục vụ tấn công kéo dài càng được giảm thiểu.
Theo The Hacker News