Експерти з кібербезпеки “Лабораторії Касперського” виявили масштабну шкідливу кампанію, спрямовану на компрометацію контейнерних середовищ Docker для прихованого майнінгу криптовалюти Dero. Зловмисники застосовують автоматизовані методи атак через незахищені Docker API, що створює серйозну загрозу для корпоративної інфраструктури.

Масштаб загрози та цільові жертви

За даними платформи Shodan, щомісяця у світі виявляється близько 485 відкритих Docker API на стандартних портах, включаючи регіон України та країн СНД. Основними цілями атак стають технологічні компанії, розробники програмного забезпечення та провайдери хмарних послуг, які не забезпечили належний рівень захисту своїх Docker-середовищ.

Технічна анатомія кіберзагрози

Шкідлива кампанія реалізується через два основні компоненти, розроблені мовою Go: nginx та cloud. Компонент cloud є безпосередньо майнером криптовалюти Dero, тоді як nginx забезпечує його функціонування та поширення. Примітно, що шкідливий компонент навмисно названий на честь популярного веб-сервера для маскування своєї активності в системі.

Інноваційний механізм розповсюдження

Унікальність цієї кампанії полягає у відсутності традиційного командного сервера. Заражені контейнери автономно сканують мережу та поширюють шкідливе програмне забезпечення, що значно ускладнює виявлення та блокування атак. Зловмисники використовують модифіковану версію відкритого проекту DeroHE CLI з доданою конфігурацією для майнінгу.

Зв’язок з попередніми інцидентами

Дослідники встановили зв’язок поточної кампанії з попередніми атаками на кластери Kubernetes у 2023-2024 роках. У минулих інцидентах використовувався аналогічний криптогаманець та вузли derod, проте методологія атак була менш складною і не включала механізми автоматичного розповсюдження.

Для захисту від подібних загроз організаціям рекомендується впровадити комплекс заходів безпеки: забезпечити надійний захист Docker API, використовувати сучасні системи моніторингу та регулярно оновлювати механізми безпеки контейнерних середовищ. Критично важливим є застосування принципу найменших привілеїв при налаштуванні доступу до API та проведення регулярних аудитів безпеки інфраструктури. Своєчасне виявлення та реагування на подібні загрози допоможе запобігти значним фінансовим та репутаційним втратам.