針對曝露的Docker API，駭客透過Tor網路發動新一波行動，疑綁架用於殭屍網路

今年6月資安業者趨勢科技揭露針對組態配置不當的Docker API挖礦的大規模攻擊行動，駭客將作案工具存放於架設在洋蔥網路（Tor Network）的伺服器，意圖隱匿相關活動，如今有新的發現，指出相關攻擊的威脅加劇。

資安業者Akamai今年8月在本身設置的蜜罐陷阱基礎設施，發現新一波的攻擊行動，雖然駭客同樣針對曝露在網際網路，且具備弱點而有機會被感染的Docker API而來，但這次使用的初始存取管道有所不同，而且，攻擊者還讓其他人無法透過網際網路存取受害的Docker API。值得留意的是，這波攻擊行動的惡意程式也相當特殊，因為攻擊者並未植入挖礦軟體，而是部署其他工具，疑似打算充當殭屍網路的基礎設施。

Akamai起初偵測到來自數個IP位址的請求，攻擊者疑似想要在其中一臺伺服器建立容器，因而引起他們的注意並著手調查。

攻擊者掛載伺服器的檔案系統，並執行經Base64演算法編碼遮蔽的指令碼，意圖建立新的容器，Akamai解析指令碼的內容，確認其功能主要是設定容器組態：部署公用程式curl、tor，並於背景啟動tor處理程序，接著從洋蔥網域取得另一個指令碼docker-init.sh。

接著，攻擊者將自己的金鑰加入SSH連線，然後植入一系列工具masscan、libpcap、libpcap-dev、zstd、torsocks，用來迴避偵測、持續活動、以及進行擴散。

攻擊者運用cron建立工作排程，針對Docker API使用的連接埠2375埠，設定每分鐘使用多種防火牆工具封鎖，目的是不讓其他人能夠存取受害主機資源。然後才向C2建立通訊，並從另一個Tor服務下載經壓縮處理的二進位檔案。

特別的是，其中一個檔案是使用Go語言打造的惡意程式部署工具，執行過程竟出現Emoji表情符號，Akamai推測，可能是因為攻擊者借助大型語言模型（LLM）撰寫程式碼，目前許多LLM生成程式碼時經常會出現表情符號，有人認為是操作者刻意用表情符號，意圖繞過系統的輸入檢查，也有人認為是LLM訓練時學到這種風格，而在操作者會強制禁用的狀況下，產生帶有表情符號的程式碼內容。

為了進行橫向感染，攻擊者透過散播的dockerd檔案，執行網路埠掃描工具masscan，尋找網際網路上開放的2375埠，試圖向其他可公開存取的Docker API擴散，不過值得留意的是，惡意程式的二進位檔案也納入另外兩個連接埠的檢查機制，它們是23埠及9222埠，分別用於Telnet連線，以及Chrome瀏覽器遠端除錯。雖然實際上惡意程式現在只掃描2375埠，但這項發現，很可能與未來即將出現的新功能有關，像是能嘗試使用預設帳密存取路由器、竊取瀏覽器Cookie或信用卡資料、從外部存取雲端中繼資料等受管制的資訊，以及發動DDoS攻擊。