Sicherheitsforscher von Kaspersky haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die gezielt Docker-Container für das Mining der Kryptowährung Dero missbraucht. Die Angreifer nutzen dabei ungesicherte Docker-APIs aus und setzen auf hochentwickelte Automatisierungsmechanismen, was eine ernsthafte Bedrohung für Unternehmen mit Container-Infrastrukturen darstellt.
Zielgerichtete Angriffe auf Technologieunternehmen
Im Fokus der Attacken stehen vor allem Technologieunternehmen, Software-Entwickler und Cloud-Service-Provider. Shodan-Analysen zeigen, dass monatlich etwa 485 Docker-APIs auf Standard-Ports exponiert werden, was Angreifern ein breites Spektrum potenzieller Ziele bietet. Besonders betroffen sind Organisationen mit unzureichend geschützten Docker-Schnittstellen.
Technische Analyse der Malware-Komponenten
Die Malware basiert auf zwei in Go programmierten Hauptkomponenten: „nginx“ und „cloud“. Während die „cloud“-Komponente den eigentlichen Dero-Miner implementiert, übernimmt „nginx“ – bewusst nach dem bekannten Webserver benannt – die Steuerung und Verbreitung. Diese Tarnung erschwert die Erkennung durch gängige Sicherheitssysteme.
Innovative Verbreitungsmethodik
Bemerkenswert ist der Verzicht auf klassische Command-and-Control-Server. Stattdessen agieren infizierte Container als autonome Einheiten, die selbstständig das Netzwerk scannen und die Malware weiterverbreiten. Die Angreifer verwenden eine modifizierte Version des Open-Source-Projekts DeroHE CLI mit speziell angepasster Mining-Konfiguration.
Verbindungen zu früheren Angriffen
Die Kampagne weist deutliche Parallelen zu Kubernetes-Cluster-Attacken aus den Jahren 2023-2024 auf. Die Verwendung identischer Krypto-Wallets und derod-Nodes deutet auf dieselben Akteure hin, wobei die aktuelle Kampagne technisch ausgereifter ist und über fortschrittlichere Verbreitungsmechanismen verfügt.
Diese Entwicklung unterstreicht die wachsende Bedrohung für Container-Infrastrukturen durch Crypto-Mining-Malware. Unternehmen sollten dringend ihre Docker-API-Sicherheit überprüfen, Zero-Trust-Architekturen implementieren und Container-Monitoring-Systeme einsetzen. Empfohlen werden regelmäßige Sicherheitsaudits, die strikte Anwendung des Principle of Least Privilege bei API-Zugriffen sowie der Einsatz spezialisierter Container-Security-Lösungen zur Erkennung und Abwehr derartiger Bedrohungen.
