มีผู้โจมตีกำลังเล่นงานเป้าหมายที่เป็นอินสแตนซ์ Docker บนคลาวด์ที่ตั้งค่าอย่างไม่ปลอดภัย ที่รันบนดิสโทรลีนุกซ์ ด้วยมัลแวร์สายพันธุ์ที่ตรวจจับได้ยากชื่อ Doki ซึ่งเป็นส่วนหนึ่งของขบวนการ Ngrok Cryptominer Botnet
ขบวนการดังกล่าวมีความเคลื่อนไหวมาตั้งแต่ปี 2018 มีพฤติกรรมในการเชื่อมต่อกับระบบควบคุมจากศูนย์กลางแบบไดนามิก ที่ไม่ได้พึ่งพาโดเมนหรือกลุ่มไอพีจำเพาะตายตัว แต่หันมาใช้ประโยชน์จากบริการ Dynamic DNS แทน
เช่นของ DynDNS รวมกับอัลกอริทึมบล็อกเชนอย่าง Domain Generation Algorithm (DGA) ในการสร้างและหาตำแหน่งที่อยู่ของเซิร์ฟเวอร์สั่งการได้แบบเรียลไทม์ ทำให้ “ติดต่อกลับไปยังผู้โจมตี” ได้โดยหลบเลี่ยงการตรวจจับอย่างแนบเนียน
ซึ่งขบวนการนี้สามารถหลบหนีการตรวจจับได้ยาวนานกว่า 6 เดือน แม้จะมีการส่งตัวอย่างมัลแวร์ไปยังเอนจิ้นวิเคราะห์อย่าง VirusTotal ตั้งแต่วันที่ 14 มกราคมที่ผ่านมาก็ตาม แม้แต่ในปัจจุบันก็มีเอนจิ้นแอนตี้ไวรัสแค่ 4 ยี่ห้อเท่านั้นที่ตรวจจับได้
ที่มา : BleepingComputers
