OracleIV僵尸网络恶意软件采用各种策略，主要侧重于通过基于UDP和SSL的洪水执行DDoS攻击。虽然OracleIV不是供应链攻击，但它凸显了错误配置的Docker引擎API部署所带来的持续威胁。

Cado安全实验室的网络安全研究人员曝光了一种名为OracleIV的新型（分布式拒绝服务）DDoS僵尸网络恶意软件，其目标是公开暴露的Docker引擎API实例。

这些发现是对恶意活动的调查的一部分，该活动利用 Docker 容器中的错误配置来传播编译为 ELF 可执行文件的Python 恶意软件。

最近，Docker引擎API经常成为网络犯罪分子的目标，因为随着微服务驱动架构的日益普及，该方法变得越来越流行。攻击者利用Docker引擎API的无意暴露，经常扫描易受攻击的实例来传递具有邪恶目标的有效负载。

对于新的OracleIV DDoS僵尸网络恶意软件，攻击者通过向Docker的API（特别是 /images/create 端点）发出HTTP POST请求来发起访问。这会触发docker pull命令，从Dockerhub获取指定的镜像。一旦检索到恶意图像，就会启动一个容器来实现攻击者的目标。

oracleiv_latestCado安全研究人员发现了一个实时Dockerhub页面，其中包含用户“上传的名为“”的图像robbertignacio328832。该镜像看似无害，就像“docker的Mysql镜像”一样，包含一个名为“oracle.sh”的恶意负载，这是一个充当DDoS机器人代理的ELF可执行文件。进一步分析揭示了用于检索XMRig和矿工配置文件的其他命令。

对可执行文件的静态分析暴露了使用Cython编译的64位ELF ，确认了OracleIV恶意软件的Python代码来源。恶意软件代码简洁而有效，包含专用于不同DDoS方法的各种功能。

研究人员在博客文章中解释道：“在撰写本文时，这张图片仍然存在，并且被拉取了3000多次。 ” 此外，它似乎正在频繁更新，最新的修改是在Cado博客发布前三天推送的。

该机器人连接到命令和控制服务器(C2)，使用硬编码密码执行基本身份验证。Cado安全实验室监控僵尸网络的活动，目睹对各种目标的DDoS攻击，主要使用UDP和基于SSL的洪水。

发起DDoS攻击的C2命令遵循特定的格式，指定攻击类型、目标IP/域、攻击持续时间、速率和目标端口。该僵尸网络的功能包括UDP洪水、基于SSL的攻击、SYN洪水、slowloris式攻击以及针对FiveM服务器和Valve源引擎的特定于协议的洪水。

虽然OracleIV不是供应链攻击，但它凸显了错误配置的Docker引擎API部署所带来的持续威胁。容器化的可移植性使攻击者能够跨Docker主机一致地执行恶意负载。

尽管Cado Security已向Docker报告了恶意用户，但仍敦促用户对从Dockerhub拉取的镜像进行定期评估，强调需要对恶意代码保持警惕。

总之，OracleIV活动强调了保护面向互联网的服务和实施强大的网络防御的重要性。我们鼓励Docker和类似服务的用户定期检查其暴露情况，并针对潜在的网络安全威胁采取必要的预防措施。