Misgeconfigureerde Docker API -instanties zijn het doelwit geworden van een nieuwe malware -campagne die ze transformeert in een cryptocurrency -mijnbotnet.
De aanvallen, ontworpen om te delven voor Dero-valuta, zijn opmerkelijk vanwege zijn wormachtige mogelijkheden om de malware te verspreiden naar andere blootgestelde Docker-instanties en ze te touwen in een steeds groeiende horde van mijnbouwbots.
Kaspersky zei dat het observeerde dat een niet -geïdentificeerde dreigingsacteur initiële toegang kreeg tot een lopende containerinfrastructuur door een onzeker gepubliceerde Docker API te exploiteren en vervolgens die toegang te bewapenen om het illegale cryptojacking -netwerk te creëren.
“Dit leidde ertoe dat de lopende containers werden gecompromitteerd en nieuwe die niet alleen werden gecreëerd om de middelen van het slachtoffer voor cryptocurrency -mijnbouw te kapen, maar ook om externe aanvallen te lanceren om te verspreiden naar andere netwerken,” zei beveiligingsonderzoeker, zei Wageh.
De aanvalsketen wordt gerealiseerd door twee componenten: een propagatiemalware “nginx” die internet scant op blootgestelde Docker API’s en de “Cloud” Dero Cryptocurrency Miner. Beide payloads zijn ontwikkeld met Golang. Het gebruik van “nginx” is een opzettelijke poging om zich te maskeren als de legitieme Nginx -webserver en te vliegen onder de radar.
De propagatiemalware is ontworpen om de lopende activiteiten van de malware op te nemen, de mijnwerker te starten en een oneindige lus in te voeren om willekeurige IPv4 -netwerksubnetten te genereren voor het markeren van meer gevoelige docker -instanties die de standaard API -poort 2375 open hebben en ze in gevaar brengen.
Vervolgens gaat het controleren of de externe Dockerd -daemon op de host met een bijpassende IPv4 actief is en reageert. Als het de opdracht “Docker -H PS” niet uitvoert, gaat “Nginx” eenvoudig naar het volgende IP -adres uit de lijst.
“Nadat hij heeft bevestigd dat de Remote Dockerd Daemon actief is en reageert, genereert Nginx een containernaam met 12 willekeurige tekens en gebruikt deze om een kwaadaardige container op het externe doelwit te maken,” legde Wageh uit. “Vervolgens bereidt Nginx de nieuwe container voor om de afhankelijkheden later te installeren door de pakketten bij te werken via ‘Docker -H EXEC APT -GET -YQ UPDATE.'”
Het propagatietool installeert vervolgens MassCan en Docker.io in de container zodat de malware kan interageren met de Docker Daemon en de externe scan uit te voeren om andere netwerken te infecteren, waardoor de malware effectief verder wordt verspreid. In de laatste fase worden de twee payloads “nginx” en “cloud” overgebracht naar de container met behulp van de opdracht “docker -h cp -l/usr/bin/:/usr/bin.”
Als een manier om persistentie in te stellen, wordt het overgedragen “nginx” binair toegevoegd aan het bestand “/root/.bash_aliases” om ervoor te zorgen dat het automatisch wordt gestart op de shell -login. Een ander belangrijk aspect van de malware is dat het ook is ontworpen om op Ubuntu gebaseerde lopende containers op externe kwetsbare hosts te infecteren.
Het uiteindelijke doel van de campagne is om de Dero Cryptocurrency Miner uit te voeren, die is gebaseerd op de open-source derohe CLI-mijnwerker beschikbaar op GitHub.
Kaspersky heeft beoordeeld dat de activiteit overlapt met een Dero -mijnbouwcampagne die eerder werd gedocumenteerd door CrowdStrike in maart 2023 gericht op Kubernetes -clusters op basis van het gebruikte portefeuilleadres en de gebruikte derod -knooppuntadressen. Een daaropvolgende iteratie van dezelfde campagne werd gemarkeerd door Wiz in juni 2024.
“Containerized omgevingen werden aangetast door een combinatie van een eerder bekende mijnwerker en een nieuw monster dat kwaadaardige containers en geïnfecteerde bestaande creëerde,” zei Wageh. “De twee kwaadaardige implantaten verspreiden zich zonder een C2 -server, waardoor elk netwerk een containerinfrastructuur heeft en onecurly gepubliceerde Docker API naar internet een potentieel doelwit.”
De ontwikkeling komt als het Ahnlab Security Intelligence Center (ASEC) een campagne beschreef die de inzet van de Monero Coin Miner inhoudt, samen met een nooit eerder geziene achterdeur die het PybitMessage peer-to-peer (P2P) communicatieprotocol gebruikt om inkomende instructies te verwerken en ze als Powershell-scripts uit te voeren.
De exacte distributiemethode die in de campagne wordt gebruikt, is momenteel niet bekend, maar het wordt vermoedelijk vermomd als gebarsten versies van populaire software, waardoor het essentieel is dat gebruikers het downloaden van bestanden uit onbekende of niet -vertrouwde bronnen vermijden en zich houden aan legitieme distributiekanalen.
“Het BitMessage -protocol is een berichtensysteem dat is ontworpen met anonimiteit en decentralisatie in gedachten, en het bevat de preventie van interceptie door intermediairs en de anonimisering van berichtafzenders en ontvangers,” zei ASEC.
“Dreigingsactoren hebben de PybitMessage -module uitgebuit, die dit protocol in de Python -omgeving implementeert, om gecodeerde pakketten in een indeling te wisselen in een formaat vergelijkbaar met regelmatig webverkeer. In het bijzonder zijn C2 -opdrachten en besturingsberichten verborgen binnen berichten van echte gebruikers in het BitMessage -netwerk.”
