Docker Container เป็นเทคโนโลยีที่ที่ไหนก็ใช้ในปัจจุบัน เพราะง่ายต่อการ implement และ maintain ยิ่งมีประโยชน์ก็ยิ่งมีโอกาสถูกนำมาใช้ในการโจมตี

Docker team พบว่ามี 17 docker container image ที่ถูกฝัง backdoor และลง cryptocurrency miner (XMRig-Monero) ไว้ตั้งแต่เมื่อปีก่อน (ตั้งแต่พค. 2017)   ซึ่งสืบเนื่องด้วย Docker images ใหม่นั้นจะไม่ได้มีการตรวจสอบมาก่อน ทำให้สามารถ upload ขึ้นได้อย่างง่ายดี โดย 17 docker images นั้นถูก upload โดยบุคคล/group ที่ชื่อว่า “docker123321.” ซึ่งมีบาง package ถูกนำไปติดตั้งเป็นล้านครั้ง และอื่นๆก็อยู่ที่ประมาณ 1000-100 ครั้ง

การตรวจพบครั้งนี้หลังจากที่ user แจ้งว่าพบพฤติกรรมที่ผิดปกติใน cloud server ที่ใช้งาน Docker และ Kubernetes instances. ซึ่งทางผู้พบได้แจ้งไว้ใน GitHub และ Twitter.

บริษัท security และ researcher ทั้งหลายไม่ว่าจะเป็น Sysdig, Aqua Security, และ Alexander Urcioli ออก report เกี่ยวกับเรื่องนี้เช่นกัน (สามารถดู list ของ docker images ที่เป็น malicious ได้ตามด้านล่างครับ)

Name of image

  Creation timestamp

  docker123321/tomcat

  2017-07-25 04:53:28

  1st bunch of malicious images

  docker123321/tomcat11

  2017-08-22 08:38:48

  docker123321/tomcat22

  2017-08-22 08:58:35

  docker123321/kk

  2017-10-13 18:56:22

  2nd bunch of malicious images

  docker123321/mysql

  2017-10-24 01:49:42

  docker123321/data

  2017-11-09 01:00:14

  docker123321/mysql0

  2017-12-12 18:32:22

  docker123321/cron

  2018-01-05 11:33:04

  3rd bunch of malicious images

  docker123321/cronm

  2018-01-05 11:33:04

  docker123321/cronnn

  2018-01-12 02:06:11

  docker123321/t1

  2018-01-18 09:54:04

  docker123321/t2

  2018-01-19 09:41:46

  docker123321/mysql2

  2018-02-02 11:40:53

  4th bunch of malicious images

  docker123321/mysql3

  2018-02-02 18:52:00

  docker123321/mysql4

  2018-02-05 14:05:18

  docker123321/mysql5

  2018-02-05 14:05:18

  docker123321/mysql6

  2018-02-07 02:16:29

Docker image name

  Type of malware

  docker123321/tomcat

  docker123321/mysql2

  docker123321/mysql3

  docker123321/mysql4

  docker123321/mysql5

  docker123321/mysql6

  Containers run Python Reverse Shell

 docker123321/tomcat11

  Containers run Bash Reverse Shell

  docker123321/tomcat22

  Containers add attacker’s SSH key

  docker123321/cron
docker123321/cronm

  docker123321/cronnn

  docker123321/mysql

  docker123321/mysql0

  docker123321/data

  docker123321/t1

  docker123321/t2

  Containers run embedded cryptocoinminers.

  (On condition that container runs, it will download a malicious .jpg file that runs in bash and exposes mining software.)

  docker123321/kk

  Containers run embedded crypto coin miners.

  (On condition that container runs, it will download a malicious .sh file that runs in bash and exposes mining software.)

user ดังกล่าวกล่าวว่าพบว่าเครื่องดังกล่าวถูกนำไปขุดได้ Monero ได้ถึง 544.74 เหรียญ (ราคาประมาณ $90,000 ).

Source:: Github, BleepingComputer