Kaspersky entdeckt großangelegte Dero-Mining-Attacke auf Docker-Infrastrukturen

Foto des Autors

CyberSecureFox Editorial Team

Sicherheitsforscher von Kaspersky haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die gezielt Docker-Container für das Mining der Kryptowährung Dero missbraucht. Die Angreifer nutzen dabei ungesicherte Docker-APIs aus und setzen auf hochentwickelte Automatisierungsmechanismen, was eine ernsthafte Bedrohung für Unternehmen mit Container-Infrastrukturen darstellt.

Zielgerichtete Angriffe auf Technologieunternehmen

Im Fokus der Attacken stehen vor allem Technologieunternehmen, Software-Entwickler und Cloud-Service-Provider. Shodan-Analysen zeigen, dass monatlich etwa 485 Docker-APIs auf Standard-Ports exponiert werden, was Angreifern ein breites Spektrum potenzieller Ziele bietet. Besonders betroffen sind Organisationen mit unzureichend geschützten Docker-Schnittstellen.

Technische Analyse der Malware-Komponenten

Die Malware basiert auf zwei in Go programmierten Hauptkomponenten: „nginx“ und cloud. Während die „cloud“-Komponente den eigentlichen Dero-Miner implementiert, übernimmt „nginx“ – bewusst nach dem bekannten Webserver benannt – die Steuerung und Verbreitung. Diese Tarnung erschwert die Erkennung durch gängige Sicherheitssysteme.

Innovative Verbreitungsmethodik

Bemerkenswert ist der Verzicht auf klassische Command-and-Control-Server. Stattdessen agieren infizierte Container als autonome Einheiten, die selbstständig das Netzwerk scannen und die Malware weiterverbreiten. Die Angreifer verwenden eine modifizierte Version des Open-Source-Projekts DeroHE CLI mit speziell angepasster Mining-Konfiguration.

Verbindungen zu früheren Angriffen

Die Kampagne weist deutliche Parallelen zu Kubernetes-Cluster-Attacken aus den Jahren 2023-2024 auf. Die Verwendung identischer Krypto-Wallets und derod-Nodes deutet auf dieselben Akteure hin, wobei die aktuelle Kampagne technisch ausgereifter ist und über fortschrittlichere Verbreitungsmechanismen verfügt.

Diese Entwicklung unterstreicht die wachsende Bedrohung für Container-Infrastrukturen durch Crypto-Mining-Malware. Unternehmen sollten dringend ihre Docker-API-Sicherheit überprüfen, Zero-Trust-Architekturen implementieren und Container-Monitoring-Systeme einsetzen. Empfohlen werden regelmäßige Sicherheitsaudits, die strikte Anwendung des Principle of Least Privilege bei API-Zugriffen sowie der Einsatz spezialisierter Container-Security-Lösungen zur Erkennung und Abwehr derartiger Bedrohungen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen