Image by Henrik L., from Unsplash
Samoreplikujący się Malware Zombie Atakuje Docker
Przeczytasz w: 2 min
Ostatnia aktualizacja: May 28, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
Niezabezpieczone kontenery Docker są przejmowane przez złośliwe oprogramowanie, które rozprzestrzenia się autonomicznie, tworząc sieć zombie wydobywającą kryptowalutę skoncentrowaną na prywatności – Dero.
Spieszysz się? Oto szybkie fakty:
- Malware rozprzestrzenia się autonomicznie bez serwera sterowania i kontroli, co komplikuje obronę.
- Dwa implanty Golang: fałszywe narzędzie nginx i ukryty kopacz chmur Dero.
- Malware przejmuje istniejące kontenery i automatycznie tworzy nowe złośliwe kontenery.
Nowa kampania cryptojackingu zamienia niezabezpieczone kontenery Docker w szybko rozprzestrzeniającą się sieć zombie, która kopie prywatność-orientowaną kryptowalutę Dero. Malware rozprzestrzenia się samodzielnie, bez serwera sterującego, co utrudnia jego zatrzymanie.
Badacze z Kaspersky odkryli infekcję podczas rutynowej oceny bezpieczeństwa. „Wykryliśmy wiele działających kontenerów z podejrzanymi aktywnościami” – powiedzieli.
Atak zaczyna się, gdy odsłonięte API Docker są znajdowane w sieci. Gdy tylko jeden z nich zostaje naruszony, złośliwe oprogramowanie tworzy nowe szkodliwe kontenery i przejmuje kontrolę nad istniejącymi, przekształcając je w „zombie”, które kopią Dero i zarażają innych.
Atak wykorzystuje dwa implanty malware oparte na Golang, oba ukryte za pomocą pakowania UPX: jeden nosi nazwę nginx (nie mylić z legalnym serwerem internetowym), a drugi jest chmurowym minerem Dero. Kaspersky zidentyfikował je jako Trojan.Linux.Agent.gen i RiskTool.Linux.Miner.gen.
Malware nginx udaje legalne narzędzie internetowe i utrzymuje działanie minera, jednocześnie ciągle skanując internet w poszukiwaniu nowych celów. Szuka otwartych API Docker na porcie 2375 i wykorzystuje narzędzia takie jak masscan do ich wykrycia. Gdy znajdzie podatny system, rozwija fałszywy kontener Ubuntu i instaluje malware.
Próbuje również przejąć kontrolę nad istniejącymi kontenerami, sprawdzając obecność specjalnego pliku, version.dat. Jeśli plik ten nie istnieje, instaluje złośliwe oprogramowanie i rozpoczyna wydobycie.
Chmurowy koparka ukrywa swoje portfele i adresy serwerów, używając zaszyfrowanych ciągów. Po odszyfrowaniu, badacze śledzili je do wcześniejszych ataków na klastry Kubernetes.
„Ten implant został zaprojektowany tak, aby minimalizować interakcje z operatorem” – mówi raport, ostrzegając, że podobne kampanie mogą być nadal aktywne.
Eksperci ds. bezpieczeństwa ostrzegają, że tak długo, jak długo Docker APIs są dostępne online bez ochrony, takie kampanie kryptojackingowe będą kontynuowane. Użytkownicy powinni zabezpieczyć swoje środowiska Docker poprzez wyłączenie otwartych API i zaostrzenie kontroli dostępu do sieci.
Poprzedni artykuł
Najnowsze artykuły 
