Eine neue Malware-Kampagne zielt gezielt auf falsch konfigurierte Docker-API-Instanzen ab und nutzt diese, um ein illegales Botnetzwerk für das Mining der Kryptowährung Dero aufzubauen. Sicherheitsforscher von Kaspersky haben festgestellt, dass ein unbekannter Bedrohungsakteur Sicherheitslücken in unsicher veröffentlichten Docker-APIs ausnutzt. Die Malware zeigt wurmartige Fähigkeiten, die es ihr ermöglichen, sich selbst auf andere Docker-Instanzen zu übertragen, was die Verbreitung erheblich erleichtert. Kompromittierte Container werden dafür verwendet, um Kryptowährungen zu schürfen und externe Angriffe durchzuführen.
Der Angriff erfolgt durch zwei Hauptkomponenten: eine Verbreitungs-Malware, die sich als legitimer nginx-Webserver tarnt und nach exponierten Docker-APIs sucht, sowie den Dero-Kryptowährungsminer. Beide Komponenten sind in Golang entwickelt. Die Malware protokolliert ihre Aktivitäten, startet den Miner und generiert zufällige IPv4-Netzwerk-Subnetze, um weitere anfällige Docker-Instanzen zu identifizieren. Insbesondere werden Instanzen mit offenem Standard-API-Port 2375 ins Visier genommen. Neben Dero-Mining ist auch die Fähigkeit der Malware, Ubuntu-basierte Container zu infizieren, alarmierend.
Atypisches Vorgehen der Angreifer
Cybersecurity-Forscher von Trend Micro berichten über einen „unorthodoxen Ansatz“ bei diesen Angriffen. Sie haben festgestellt, dass Angreifer anfällige Docker-Remote-API-Server ins Visier nehmen und das gRPC-Protokoll über h2c nutzen, um vorhandene Sicherheitslösungen zu umgehen. Zunächst überprüfen die Angreifer die Verfügbarkeit und Version der Docker-API. Daraufhin senden sie Anfragen zum Upgrade der gRPC/h2c-Verbindung, um die Docker-Funktionalitäten zu manipulieren und ihren Payload für das Mining zu implementieren.
Nach dem Upgrade der Verbindung kann ein Container erstellt werden, der zum Mining von Kryptowährungen verwendet wird. Dabei kommt SRBMiner zum Einsatz, der auf GitHub gehostet wird. Obwohl SRBMiner letztlich zur Schürfung des XRP-Tokens gedacht ist, der zur Ripple-Blockchain gehört, ist zu beachten, dass XRP ein geprägter Token ist und daher nicht geschürft werden kann. SRBMiner nutzt jedoch auch Algorithmen wie RandomX und KawPow, mit denen Tokens wie Monero, Ravencoin, Haven Protocol, Wownero und Firo generiert werden können. Es wird vermutet, dass Angreifer hauptsächlich Monero schürfen, da dieser Token aufgrund seiner Datenschutz- und Anonymitätsmerkmale bei Cyberkriminellen hoch im Kurs steht.
Empfehlungen zur Sicherung von Docker-API-Servern
Die Sicherheitsexperten von Trend Micro empfehlen, Docker-Remote-API-Server durch stärkere Zugangskontrollen und Authentifizierungsmechanismen zu sichern. Nutzer sollten ihre Server regelmäßig auf ungewöhnliche Aktivitäten beobachten und bewährte Praktiken zum Schutz von Containern umsetzen. Da diese Malware-Kampagne mit ähnlichen Aktivitäten übereinstimmt, die bereits im März 2023 von CrowdStrike dokumentiert wurden, ist es von essenzieller Bedeutung, dass Unternehmen ihre Sicherheitsvorkehrungen überdenken und anpassen.
Für weitere Informationen über die aktuellen Bedrohungen durch Selbstverbreitende Malware, besuchen Sie IT Boltwise und TechRadar.
