ClickCease Enträtseln der Bedrohung durch eine neue Docker-Malware-Kampagne

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Enträtseln der Bedrohung durch eine neue Docker-Malware-Kampagne

Rohan Timalsina

31. Januar 2024. TuxCare-Expertenteam

In letzter Zeit haben sich Docker-Dienste zu einem Brennpunkt für böswillige Akteure entwickelt, die nach innovativen Möglichkeiten suchen, ihre Exploits zu Geld zu machen. Eine jüngste Entdeckung des Cloud-Sicherheitsunternehmens Cado enthüllt eine neue Docker-Malware-Kampagne, die einen zweigleisigen Ansatz verfolgt und den XMRig Cryptocurrency Miner sowie die 9Hits Viewer-Software nutzt. Dies ist ein bedeutender Wandel in der Taktik der Angreifer und zeigt, dass sie ständig bemüht sind, ihre Strategien zu diversifizieren und aus kompromittierten Hosts Kapital zu schlagen.

 

9Hits Viewer als Malware-Nutzlast

 

Ein auffälliger Aspekt dieser Kampagne ist der Einsatz der 9Hits-Anwendung als Nutzlast. 9Hits wird als "einzigartige Web-Traffic-Lösung" angepriesen und präsentiert sich als "automatischer Traffic-Austausch", bei dem Mitglieder ihren Website-Traffic steigern können, indem sie über eine kopflose Chrome-Browser-Instanz mit dem treffenden Namen 9Hits Viewer Credits verdienen. Diese Entwicklung unterstreicht die Anpassungsfähigkeit von Bedrohungsakteuren, die immer auf der Suche nach neuen Wegen sind, um kompromittierte Systeme auszunutzen.

Die genaue Methode zur Verbreitung der Malware auf anfällige Docker-Hosts ist zwar noch unklar, aber der Verdacht liegt nahe, dass Suchmaschinen wie Shodan genutzt werden, um potenzielle Ziele zu identifizieren. Sobald die Server identifiziert sind, wird in sie eingedrungen, um zwei bösartige Container über die Docker-API bereitzustellen. Dabei werden Standard-Images aus der Docker Hub-Bibliothek für 9Hits- und XMRig-Software verwendet.

 

Angriffsvektor für Docker-Malware

 

Anstatt sich für benutzerdefinierte Bilder zu entscheiden, verwenden die Bedrohungsakteure generische Docker Hub-Images, eine übliche Taktik bei auf Docker ausgerichteten Kampagnen. Diese Technik garantiert, dass auf generische Fotos zugegriffen werden kann und diese für die Zwecke der Angreifer genutzt werden können. Der 9Hits-Container extrahiert eine Liste von Websites, die besucht werden sollen, und authentifiziert sich mit dem Session-Token bei 9Hits, um Code auszuführen, der Credits erzeugt. Gleichzeitig stellt der XMRig-Miner, der sich in einem anderen Container befindet, eine Verbindung zu einem privaten Mining-Pool her, wodurch das Ausmaß und die Rentabilität der Kampagne verschleiert werden.

 

Auswirkungen auf kompromittierte Docker-Hosts

 

Für kompromittierte Hosts hat diese Kampagne weitreichende Auswirkungen. Die Erschöpfung der Ressourcen ist ein Hauptproblem, da der XMRig-Miner die verfügbaren CPU-Ressourcen monopolisiert und 9Hits erhebliche Bandbreite und Speicher verbraucht. Auf beschädigten Servern treten bei legitimen Arbeitslasten Leistungsprobleme auf, die den regulären Betrieb beeinträchtigen. Darüber hinaus besteht das Potenzial für schwerwiegendere Verstöße, da die Kampagne eine Remote-Shell auf dem System hinterlassen könnte, die das Risiko eines unbefugten Zugriffs erhöht.

Der Schutz von Docker-Umgebungen vor sich weiterentwickelnden Bedrohungen wie der besprochenen Docker-Malware-Kampagne ist von größter Bedeutung. Da die Bedrohungsakteure ihre Taktiken immer weiter anpassen und diversifizieren, ist es entscheidend, informiert zu bleiben und robuste Sicherheitsmaßnahmen zu implementieren. Unternehmen sollten wachsam bleiben, ihre Systeme regelmäßig aktualisieren und patchen und bewährte Sicherheitspraktiken anwenden, um ihre Docker-Umgebungen vor neuen Bedrohungen zu schützen.

 

Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.

Zusammenfassung
Enträtseln der Bedrohung durch eine neue Docker-Malware-Kampagne
Artikel Name
Enträtseln der Bedrohung durch eine neue Docker-Malware-Kampagne
Beschreibung
Entdecken Sie die neueste Docker-Malware-Bedrohung! Erfahren Sie, wie anfällige Docker-Dienste mit XMRig Crypto Miner und 9Hits Viewer ausgenutzt werden.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter