Novo malware explora APIs Docker expostas para acesso root persistente

BR Defense Center (By River de Morais e Silva)
malware

Um novo tipo de malware foi identificado na infraestrutura de honeypots da Akamai Hunt, visando APIs Docker mal configuradas para obter acesso root completo e estabelecer persistência a longo prazo. Observado pela primeira vez em agosto de 2025, essa variante se diferencia de descobertas anteriores ao bloquear o acesso de outros atacantes e incorporar múltiplas ferramentas de infecção, preparando o terreno para uma possível botnet distribuída.

O ataque se inicia com um pedido HTTP POST à API remota do daemon Docker, instruindo-o a criar um contêiner Alpine Linux com o sistema de arquivos do host montado. O contêiner executa um comando shell codificado em Base64 que instala ferramentas como curl e Tor, baixa um script secundário de um serviço oculto Tor e altera a configuração SSH do host para permitir login root e adicionar uma chave pública maliciosa para acesso remoto.

Após garantir a persistência, o contêiner se reporta ao servidor de comando e controle (C2) via Tor, baixa e executa um binário que descompacta um dropper baseado em Go, que embute ferramentas adicionais. O malware também busca outras APIs Docker expostas para propagar a infecção. A detecção pode ser feita monitorando a criação de contêineres que instalam gerenciadores de pacotes e executam comandos suspeitos, além de alterações nas regras de firewall. Estratégias de mitigação incluem isolar hosts Docker e restringir a exposição da API Docker a redes de gerenciamento confiáveis.

Fonte: https://cyberpress.org/docker-api-malware/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
09/09/2025 • Risco: ALTO
MALWARE

Novo malware explora APIs Docker expostas para acesso root persistente

RESUMO EXECUTIVO
O incidente destaca a vulnerabilidade de sistemas que utilizam Docker, com um vetor de ataque que pode comprometer a segurança de dados e operações. A exploração de APIs mal configuradas pode resultar em acesso root e controle total sobre os sistemas afetados, exigindo atenção imediata das equipes de segurança.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a interrupções e custos de remediação.
Operacional
Acesso root persistente e potencial criação de botnet.
Setores vulneráveis
['Tecnologia da informação', 'Serviços financeiros', 'Infraestrutura crítica']

📊 INDICADORES CHAVE

Uso de porta 2375 para acesso à API Docker. Indicador
Execução de comandos Base64 para instalação de ferramentas. Contexto BR
Criação de cron jobs para manipulação de regras de firewall. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a configuração das APIs Docker e a exposição da porta 2375.
2 Isolar hosts Docker e restringir o acesso à API apenas a redes confiáveis.
3 Monitorar a criação de contêineres e alterações nas regras de firewall.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a possibilidade de acesso não autorizado e controle de sistemas críticos, o que pode levar a sérios danos financeiros e de reputação.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e segurança de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).