Специалисты «Лаборатории Касперского» выявили масштабную вредоносную кампанию, направленную на заражение контейнерных сред криптовалютным майнером Dero. Злоумышленники используют автоматизированные методы атак через незащищенные API Docker, что представляет серьезную угрозу для организаций, использующих контейнерную инфраструктуру.
Механизм распространения и целевые жертвы
Основными мишенями атак становятся технологические компании, разработчики программного обеспечения, хостинг-провайдеры и поставщики облачных сервисов, не обеспечивающие должный уровень защиты своих Docker API. Согласно данным Shodan, ежемесячно в мире публикуется около 485 API Docker на стандартных портах, включая регион России и СНГ, что создает широкое поле для потенциальных атак.
Технические особенности вредоносной кампании
Атака реализуется через два основных вредоносных компонента, написанных на языке Go: nginx и cloud. Компонент cloud представляет собой непосредственно майнер Dero, в то время как nginx отвечает за его работу и распространение. Примечательно, что вредоносный компонент намеренно назван в честь популярного веб-сервера для маскировки своей активности.
Особенности распространения малвари
Инновационный аспект данной кампании заключается в отсутствии традиционного командного сервера. Зараженные контейнеры автономно сканируют сеть и распространяют вредоносное ПО, что существенно усложняет процесс обнаружения и блокировки атак. Злоумышленники используют модифицированную версию опенсорсного проекта DeroHE CLI, добавляя в код специальную конфигурацию для майнинга.
Связь с предыдущими атаками
Исследователи установили связь текущей кампании с предыдущими атаками на кластеры Kubernetes в 2023-2024 годах. В прошлых инцидентах использовался аналогичный криптокошелек и узлы derod, однако методология атак была менее сложной и не включала механизмы автоматического распространения.
Данная кампания демонстрирует растущую сложность киберугроз, направленных на контейнерную инфраструктуру. Для защиты от подобных атак критически важно обеспечить надежную защиту API Docker, использовать современные системы мониторинга и своевременно обновлять механизмы безопасности контейнерных сред. Организациям рекомендуется регулярно проводить аудит безопасности своей инфраструктуры и применять принцип наименьших привилегий при настройке доступа к API.