Новая вредоносная кампания использует Docker для майнинга Dero
Кампания по распространению вредоносного ПО для Linux
Новая кампания использует уязвимую инфраструктуру Docker по всему миру. Вредоносное ПО превращает открытые серверы в децентрализованную сеть для криптодобычи монеты Dero.
- Атака нацелена на публично доступные Docker API через порт 2375.
- После доступа вредоносное ПО создает злонамеренные контейнеры для добычи Dero и поиска дополнительных уязвимых хостов.
- Используются два импланта на Golang: «nginx», замаскированный под легитимное веб-серверное ПО, и «cloud», который выполняет добычу.
- Модуль nginx сканирует другие уязвимые узлы Docker, автономно разворачивая зараженные контейнеры.
- Кампания работает без внешнего контроля, создавая самораспространяющуюся сеть скомпрометированных узлов.
- Конфигурационные данные шифруются для уклонения от обнаружения, скрываясь под путями, характерными для легитимного ПО.
- Kaspersky связала эту кампанию с предыдущими попытками криптодобычи, нацеленными на кластеры Kubernetes в 2023 и 2024 годах.
- По состоянию на начало мая было обнаружено более 520 публично доступных Docker API, что представляет собой множество потенциальных целей.