Đội ngũ Akamai Hunt đã phát hiện một biến thể mới của malware Docker, chuyên nhắm mục tiêu vào các Docker API bị lộ. Biến thể này sở hữu các khả năng lây nhiễm mở rộng đáng kể so với các chiến dịch trước đây.

Lần đầu tiên được quan sát vào tháng 8 năm 2025 trong cơ sở hạ tầng honeypot của Akamai, biến thể này có sự khác biệt rõ rệt so với báo cáo của Trend Micro vào tháng 6 năm 2025. Thay vì triển khai cryptominer, mã độc mới chặn các kẻ tấn công khác truy cập Docker API và phân phối một payload theo module.

Sự gia tăng của công nghệ container đã biến các Docker API bị cấu hình sai trở thành bề mặt tấn công hấp dẫn. Các chiến dịch ban đầu vào tháng 6 năm 2025 sử dụng các bản tải xuống dựa trên Tor để triển khai các công cụ đào tiền điện tử. Tuy nhiên, phiên bản mới nhất cho thấy sự phát triển nhanh chóng của các tác nhân đe dọa.

Chúng không chỉ chiếm quyền điều khiển máy chủ Docker để đạt được quyền truy cập SSH root dai dẳng mà còn trục xuất các kẻ tấn công đối thủ và có khả năng đặt nền móng cho một mạng botnet.

Phân tích biến thể Malware Docker mới

Vào tháng 6 năm 2025, nhóm Threat Intelligence của Trend Micro đã báo cáo một mã độc khai thác các Docker API không an toàn trên cổng 2375. Mã độc này tạo ra một container Alpine, bind-mount hệ thống tệp tin của máy chủ và thực thi một downloader được mã hóa Base64 qua Tor. Downloader này sau đó lấy về một shell script thực hiện các bước sau:

• Tải xuống và cài đặt một cryptominer.
• Cấu hình tường lửa để cho phép lưu lượng truy cập của miner.
• Tạo một dịch vụ hệ thống để đảm bảo miner hoạt động liên tục.

Biến thể ban đầu này chủ yếu nhằm mục đích chiếm đoạt chu kỳ tính toán để đào tiền điện tử ẩn danh qua Tor. Việc xác định biến thể này thường dựa trên việc tìm kiếm các container ubuntu, do nhiều tác nhân đe dọa triển khai chúng cùng với các cryptominer.

Sự khác biệt của biến thể Akamai Hunt

Trong quá trình giám sát honeypot, đội ngũ Akamai Hunt đã quan sát thấy các yêu cầu HTTP tới một Docker API với mục đích tạo container. Payload được giải mã đã cài đặt Tor, sau đó lấy tệp docker-init.sh từ một miền onion và thực thi nó trên máy chủ thông qua bind mount. Các điểm khác biệt chính so với biến thể trước đó bao gồm:

• Khóa Docker API: Mã độc mới khóa Docker API để ngăn chặn các kẻ tấn công khác truy cập và chiếm quyền.
• Cơ chế duy trì SSH root: Đạt được quyền root thông qua SSH để đảm bảo sự hiện diện lâu dài trên hệ thống bị xâm nhập.
• Payload theo module: Thay vì chỉ triển khai cryptominer, mã độc sử dụng một payload theo module, cho phép các khả năng tấn công linh hoạt hơn trong tương lai, tiềm tàng cho các cuộc tấn công mạng quy mô lớn hơn.

Phần dropper Go được tải xuống có khả năng phân tích tệp utmp để xác định người dùng đang đăng nhập. Nhị phân thứ cấp của mã độc này thực hiện các chức năng phức tạp hơn, có thể bao gồm cài đặt backdoor, thu thập thông tin hoặc tham gia vào các hoạt động botnet. Đây là một mối đe dọa mạng đáng kể.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo bài viết từ Akamai: New Malware Targeting Docker APIs – Akamai Hunt.

Các chỉ số xâm nhập (IOCs) và Kỹ thuật phát hiện

Mặc dù bài viết không cung cấp các IOC cụ thể như hash tệp hay địa chỉ IP, nhưng các hành vi của malware Docker này cung cấp nhiều chỉ số có thể được dùng để phát hiện. Việc giám sát các hoạt động bất thường trên hệ thống Docker là rất quan trọng.

IOCs hành vi quan trọng

• Yêu cầu HTTP bất thường: Các yêu cầu HTTP gửi đến Docker API (thường là cổng 2375) với payload tạo container không mong muốn.
• Tải xuống từ miền Onion: Bất kỳ kết nối hoặc tải xuống tệp nào (ví dụ: docker-init.sh) từ các miền .onion thông qua Tor.
• Tạo container Alpine lạ: Phát hiện các container Alpine được tạo với bind mount hệ thống tệp tin gốc (ví dụ: -v /:/host).
• Thay đổi cấu hình SSH: Các thay đổi không được ủy quyền đối với cấu hình SSH (ví dụ: thêm khóa công khai, thay đổi mật khẩu root).
• Hoạt động Tor bất thường: Cài đặt và sử dụng Tor trên máy chủ Docker không được ủy quyền.
• Phân tích tệp utmp: Hoạt động của các tiến trình lạ đọc tệp utmp hoặc các tệp hệ thống nhạy cảm khác.
• Khóa Docker API: Bất kỳ cố gắng nào để thay đổi hoặc khóa quyền truy cập vào Docker API sau khi bị xâm nhập.

Kỹ thuật phát hiện chung

Các kỹ thuật phát hiện cho biến thể malware Docker này và các mối đe dọa dựa trên API tương tự bao gồm:

• Giám sát lưu lượng mạng: Sử dụng công cụ giám sát mạng để phát hiện lưu lượng truy cập đến và đi từ Docker API trên cổng 2375 hoặc các cổng khác được sử dụng bởi Docker daemon. Tìm kiếm các kết nối bất thường tới các máy chủ điều khiển và kiểm soát (C2) hoặc các miền .onion.
• Phân tích nhật ký Docker: Kiểm tra nhật ký Docker daemon và nhật ký kiểm toán hệ thống để tìm các hoạt động tạo, sửa đổi hoặc xóa container không được ủy quyền. Đặc biệt chú ý đến các container có bind mount nguy hiểm hoặc các lệnh thực thi lạ.
• Giám sát tiến trình và tệp hệ thống: Theo dõi các tiến trình đang chạy trên máy chủ Docker để tìm các tiến trình lạ như cryptominer, tác nhân SSH không mong muốn, hoặc các nhị phân độc hại. Giám sát các tệp hệ thống quan trọng như cấu hình SSH và tệp khởi động hệ thống.
• Hệ thống phát hiện xâm nhập (IDS/IPS): Triển khai IDS/IPS để phát hiện các mẫu tấn công đã biết hoặc hành vi bất thường.

Chiến lược giảm thiểu và bảo vệ hệ thống

Để giảm thiểu rủi ro và bảo vệ hệ thống trước các mối đe dọa như malware Docker, cần áp dụng một chiến lược an ninh mạng toàn diện:

Cấu hình an toàn cho Docker API

Đảm bảo Docker API không bị lộ ra Internet công cộng. Cấu hình Docker daemon chỉ lắng nghe trên các giao diện cục bộ hoặc sử dụng chứng chỉ TLS để xác thực và mã hóa giao tiếp. Nếu cần truy cập từ xa, hãy sử dụng VPN hoặc SSH tunneling.

# Ví dụ: Cấu hình Docker Daemon chỉ lắng nghe trên Unix socket
# Edit /etc/docker/daemon.json
{
  "hosts": ["unix:///var/run/docker.sock"]
}
# Hoặc, với TLS và xác thực
{
  "hosts": ["tcp://0.0.0.0:2376", "unix:///var/run/docker.sock"],
  "tlsverify": true,
  "tlscacert": "/path/to/ca.pem",
  "tlscert": "/path/to/server-cert.pem",
  "tlskey": "/path/to/server-key.pem"
}

Quản lý quyền truy cập và vá lỗi

• Nguyên tắc đặc quyền tối thiểu: Chỉ cấp các quyền cần thiết cho người dùng và ứng dụng truy cập Docker API.
• Cập nhật bản vá thường xuyên: Luôn đảm bảo hệ thống máy chủ Docker và các thành phần liên quan được cập nhật bản vá bảo mật mới nhất. Điều này giúp khắc phục các lỗ hổng đã biết.
• Giới hạn tài nguyên container: Sử dụng các tính năng giới hạn tài nguyên của Docker (ví dụ: CPU, bộ nhớ) để hạn chế ảnh hưởng của các container bị xâm nhập.

Giám sát và Săn lùng mối đe dọa

Thực hiện kiểm toán môi trường container một cách nghiêm ngặt và thường xuyên. Tăng cường kiểm soát mạng và giám sát các hành vi bất thường. Săn lùng mối đe dọa liên tục là rất quan trọng để phát hiện sớm và khắc phục kịp thời các sự cố an ninh mạng. Điều này giúp phòng ngừa các cuộc tấn công phức tạp hơn.

Biến thể mã độc Docker API mới này nhấn mạnh tốc độ thích ứng của các kẻ tấn công. Chúng sử dụng các kỹ thuật khai thác đã biết để tăng cường khả năng duy trì quyền truy cập và ngăn chặn các cuộc xâm nhập của đối thủ. Bằng cách kết hợp backdoor SSH root, chiến thuật khóa API và payload theo module, tác nhân đe dọa đã nâng cấp một chiến dịch cryptominer đơn giản thành một khuôn khổ xâm nhập nhiều giai đoạn.