Nesprávně nakonfigurované instance Docker API se staly cílem nové malwarové kampaně, která je proměňuje v botnet pro těžbu kryptoměny. Tyto útoky, zaměřené na těžbu měny Dero, jsou pozoruhodné svými schopnostmi šířit malware na další vystavené Docker instance a zapojovat je do stále rostoucí sítě těžebních botů.

Společnost Kaspersky zaznamenala, že neidentifikovaný útočník získal počáteční přístup k běžící kontejnerizované infrastruktuře zneužitím nezabezpečeného veřejně dostupného Docker API a následně tento přístup využil k vytvoření nelegální sítě pro cryptojacking.

„To vedlo k napadení běžících kontejnerů a vytváření nových, které nejenže zneužívaly zdroje oběti k těžbě kryptoměny, ale také spouštěly externí útoky za účelem šíření do dalších sítí,“ uvedl bezpečnostní expert Amged Wageh.

Útok je realizován dvěma komponenty: šířícím malwarem „nginx“, který skenuje internet na vystavené Docker API, a těžařem kryptoměny Dero s názvem „cloud“. Oba škodlivé kódy jsou vyvinuty v jazyce Golang. Použití názvu „nginx“ je záměrné, aby se malware maskoval jako legitimní webový server nginx a unikl detekci.

Šířící malware je navržen tak, aby zaznamenával běžící aktivity malwaru, spouštěl těžaře a vstupoval do nekonečné smyčky, ve které generuje náhodné IPv4 podsítě a vyhledává další zranitelné Docker instance s výchozím otevřeným portem API 2375, které následně kompromituje.

Následně ověřuje, zda na vzdáleném hostiteli s odpovídající IPv4 běží a reaguje démon dockerd. Pokud se mu nepodaří provést příkaz „docker -H PS“, „nginx“ jednoduše přejde na další IP adresu ze seznamu.

„Po ověření, že vzdálený démon dockerd běží a reaguje, nginx vygeneruje název kontejneru s 12 náhodnými znaky a použije jej k vytvoření škodlivého kontejneru na vzdáleném cíli,“ vysvětluje Wageh. „Poté nginx připraví nový kontejner k pozdější instalaci závislostí aktualizací balíčků pomocí ‚docker -H exec apt-get -yq update.’“

Zdroj: The Hacker News