駭客升級 Docker API 攻擊工具 恐建構大型殭屍網路

資安研究人員發現，一名駭客正針對暴露在網路上的 Docker API 進行大規模攻擊，並已大幅升級其惡意工具功能，加入更具威脅性的能力，為建立複雜殭屍網路架構奠定基礎。

攻擊演進與新威脅

趨勢科技於今年六月首度發現並報告這起攻擊活動，當時研究人員觀察到攻擊者透過 Tor 網路隱藏身份，部署惡意腳本和加密貨幣挖礦程式。然而，資安業者 Akamai 最新研究顯示，攻擊者已顯著升級其武器庫，新版攻擊工具不僅持續部署挖礦程式，更釋放複雜的惡意載荷，能夠主動封鎖外部對已遭入侵 Docker API 的存取，有效阻斷其他競爭對手或資安人員的介入。

完整攻擊鏈分析

初始入侵階段
攻擊者首先大範圍掃描網路，尋找暴露在 2375 連接埠的 Docker API 弱點主機。一旦發現目標，便利用經過修改的 Alpine Linux 映像檔發送容器建立請求，這些映像檔內嵌 base64 編碼的惡意 shell 指令。

建立匿名通道
容器成功執行後，立即安裝 curl 和 tor 套件，在背景啟動 Tor 守護程序，並透過 SOCKS5 代理連接至 Amazon 的 checkip.amazonaws.com 服務驗證連線狀態。這種設計確保後續所有惡意活動都能透過 Tor 網路進行，大幅增加追蹤難度。

持久性植入與防護繞過
當 Tor 連線建立後，容器會從 Tor 隱藏服務下載第二階段腳本（docker-init.sh）。此腳本執行多項關鍵任務：將攻擊者公鑰植入主機的 SSH 授權金鑰檔案，建立持久性遠端存取管道；在主機上部署每分鐘執行的排程工作；利用 iptables、nftables、ufw 等防火牆工具封鎖外部對 2375 連接埠的存取，防止其他攻擊者或管理員干預。

工具部署與擴散準備
惡意程式同時安裝 masscan、zstd、libpcap 和 torsocks 等專業工具，為後續的網路掃描、攻擊擴散和偵測規避做準備。接著透過 Tor 網路下載經 Zstandard 壓縮的 Go 語言二進制檔案，解壓縮至 /tmp/system 並立即執行。

殭屍網路特徵與未來威脅

自主複製機制
這個 Go 二進制檔案充當惡意載入器，不僅釋放內嵌的第二階段攻擊模組，還具備分析主機 utmp 檔案以識別當前登入使用者的能力。更重要的是，該程式會主動掃描其他暴露的 Docker API，透過相同手法嘗試感染新目標，並在成功入侵後清除競爭對手的容器。這種自我複製機制正是殭屍網路代理程式的核心特徵。

潛在攻擊向量
Akamai 研究團隊發現，該惡意程式內含多項尚未啟動的攻擊模組，包括利用 Telnet（連接埠 23）預設路由器憑證進行攻擊，以及與 Chrome 遠端除錯介面（連接埠 9222）互動的功能。這表明攻擊者可能計劃大幅擴展攻擊面，未來可能發動憑證竊取、瀏覽器會話劫持、遠端檔案下載和分散式阻斷服務（DDoS）攻擊。

研究人員強調，特定底層機制顯示這個變種極可能是大型殭屍網路的早期測試版本，完整版本的威脅程度可能遠超目前觀察到的規模。

AWS SES 濫用案例相關

此次揭露與雲端安全公司 Wiz 於今年 5 月詳述的 Amazon SES 濫用事件存在潛在關聯。在該事件中，攻擊者利用被竊取的 AWS 存取金鑰作為發動大規模釣魚攻擊的跳板。

攻擊手法分析
雖然這些 AWS 金鑰的確切取得方式仍不明朗，但駭客可能透過多種管道獲取：程式碼儲存庫中意外暴露的憑證、雲端資產錯誤配置，或從開發人員工作站使用竊密程式竊取。攻擊者利用被盜金鑰進入受害者的 AWS 環境，成功繞過 SES 內建安全限制，驗證新的寄件者身份，然後有系統地策劃並執行針對多個地區和產業組織的釣魚攻擊。

企業風險警示
Wiz 特別警告，若企業帳戶已設定 SES 服務，攻擊者可利用已驗證的網域名稱發送惡意郵件。這不僅嚴重損害品牌形象，還使釣魚攻擊看似來自受害組織本身，大幅提高攻擊成功率，進而被用於定向式釣魚攻擊、商業詐騙、資料竊取或假冒身分參與業務流程。

防護建議

面對這類不斷演進的複合式威脅，資安專家建議企業應立即檢視並強化 Docker API 安全設定，避免將管理介面暴露於公開網路；定期稽核雲端服務存取權限，確保 API 金鑰安全；建立完善的網路監控機制，及時發現異常連線和惡意活動；實施多層次防護策略，降低單點失效風險。

本文轉載自 BleepingComputer、TheHackerNews。