Самораспространяющийся майнер Dero через уязвимые Docker API

Источник: securelist.com
Новая кампания майнинга через уязвимости Docker API: угроза для контейнерных сред
Недавний хакерский анализ выявил масштабную и хорошо спланированную кампанию майнинга криптовалюты, направленную на контейнерные среды. Атака использует уязвимые и неправильно настроенные Docker API для проникновения и самораспространения, что позволяет злоумышленникам эффективно создавать и контролировать вредоносные контейнеры без необходимости в централизованном Command and Control сервере.
Механизм атаки: как это работает
Вредоносный контейнер с названием nginx запускает сканирование внешних сетей в поисках доступных Docker API, используя методику самораспространения. Этот процесс включает в себя следующие ключевые этапы:
- Поиск открытых и уязвимых Docker API через сгенерированные случайные подсети при помощи инструмента masscan;
- Создание и запуск вредоносных контейнеров на базе Ubuntu 18.04 с уникальными именами;
- Автоматическая установка необходимых зависимостей, включая masscan, для дальнейшего расширения сети заражений;
- Интеграция имплантата в процессы входа в систему shell, что обеспечивает устойчивость вредоносного ПО;
- Проверка и вторичное заражение уже запущенных контейнеров, не инфицированных ранее, для увеличения вычислительных ресурсов.
Технические особенности вредоносного ПО
Вредоносный контейнер nginx написан на Go (Golang) и дополнительно замаскирован с помощью упаковщика UPX. Он автоматизирует даже криминалистический анализ скомпрометированных хостов и контейнеров для оптимизации процесса заражения.
Основные компоненты кампании:
- Вредоносное ПО для распространения (nginx) — обеспечивает поиски и запуск новых вредоносных контейнеров;
- Криптомайнер Dero — добывает криптовалюту Dero, используя жёстко заданные адреса кошельков и узлов.
Все действия вредоносной программы тщательно логируются в файл /var/log/nginx.log. Также, для поддержки «жизни» угрозы, при запуске происходит проверка отсутствия файла version.dat, что сигнализирует о чистой системе для запуска процесса заражения.
Уникальные характеристики и масштабы угрозы
- Отсутствие централизованного Command and Control сервера — делает кампанию более устойчивой и масштабируемой;
- Использование шифрования конфигурационных файлов — говорит об изощренности и профессионализме злоумышленников;
- Целевые адреса уже связывались с предыдущими атаками на Kubernetes кластеры с неправильно настроенными API;
- Экспоненциальный рост числа заражённых систем за счёт механизма самораспространения.
Почему атаки на контейнерные среды столь опасны?
Контейнерные инфраструктуры всё чаще используются в современных облачных и корпоративных системах, а их безопасность напрямую зависит от правильной настройки API и контроля доступа. Несмотря на то что подобные атаки случаются реже, их последствия могут быть катастрофическими.
Эксперты подчёркивают важность:
- Настроек и ограничения доступа к Docker API, особенно для публично доступных интерфейсов;
- Тщательного мониторинга активности в контейнерных средах;
- Использования упреждающего поиска угроз и анализа поведения контейнеров;
- Необходимо понимать, что даже использование легитимных изображений контейнеров не гарантирует защиту от подобных скрытых кибератак.
Выводы
Описанная кампания майнинга через уязвимости Docker API — это тревожный сигнал для всех организаций, использующих контейнерные технологии. Автоматизация инфицирования и криптомайнинг без центрального управления делают её высокоэффективной и сложной для обнаружения.
Текущий инцидент напоминает о необходимости:
- Строгих политик безопасности при работе с контейнерами;
- Интеграции современных средств обнаружения угроз;
- Постоянного аудита и обновления конфигураций контейнерных платформ.
В эпоху активнорастущего использования контейнеризации, игнорирование подобных угроз может привести к значительным финансовым и репутационным потерям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



