Cyberkriminelle nutzen Docker-Schwachstellen für Krypto-Mining

LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt stehen Unternehmen vor der Herausforderung, ihre IT-Infrastrukturen gegen immer raffiniertere Cyberangriffe zu schützen. Ein aktuelles Beispiel zeigt, wie Angreifer Schwachstellen in Docker-APIs ausnutzen, um Kryptowährungen zu schürfen.

In der heutigen digitalen Landschaft sind Sicherheitslücken in Cloud-Umgebungen ein beliebtes Ziel für Cyberkriminelle. Jüngste Berichte zeigen, dass Hacker gezielt falsch konfigurierte Docker-APIs angreifen, um Kryptowährungen zu schürfen. Dabei nutzen sie das Tor-Netzwerk, um ihre Aktivitäten zu verschleiern und die Herkunft ihrer Angriffe zu anonymisieren.

Die Angriffe beginnen mit einer Anfrage von einer bestimmten IP-Adresse, um eine Liste aller Container auf einem Zielsystem zu erhalten. Sind keine Container vorhanden, erstellen die Angreifer einen neuen Container basierend auf dem ‘alpine’-Docker-Image. Dieser Container wird so konfiguriert, dass er Zugriff auf das Root-Verzeichnis des Host-Systems hat, was erhebliche Sicherheitsrisiken birgt.

Einmal eingerichtet, führen die Angreifer ein Base64-kodiertes Shell-Skript aus, um Tor auf dem Container zu installieren. Dies ermöglicht es ihnen, ein weiteres Skript von einer .onion-Domain herunterzuladen und auszuführen. Diese Methode dient dazu, die Infrastruktur für Kommando- und Kontrollserver zu verbergen und die Verteilung von Malware oder Mining-Software zu erleichtern.

Die Angreifer modifizieren zudem die SSH-Konfiguration des Systems, um einen Fernzugriff zu ermöglichen. Dazu wird ein Angreifer-kontrollierter SSH-Schlüssel in die Datei ~/.ssh/authorized_keys eingefügt. Zusätzlich installieren sie Tools wie masscan und torsocks, um Informationen über das infizierte System an den C&C-Server zu senden.

Die Bedrohung durch solche Angriffe ist nicht neu, doch die Nutzung des Tor-Netzwerks stellt eine neue Dimension der Anonymität und Verschleierung dar. Unternehmen, insbesondere in den Bereichen Technologie, Finanzdienstleistungen und Gesundheitswesen, sind zunehmend Ziel solcher Angriffe.

Die Sicherheitsfirma Wiz hat kürzlich darauf hingewiesen, dass in öffentlichen Code-Repositories zahlreiche valide Geheimnisse gefunden wurden, die Angreifern als Einstiegspunkte dienen könnten. Diese Geheimnisse, die in Dateien wie mcp.json und .env gefunden wurden, gehören zu über 30 Unternehmen, darunter auch Fortune-100-Unternehmen.

Die zunehmende Komplexität und Raffinesse solcher Angriffe unterstreicht die Notwendigkeit für Unternehmen, ihre Sicherheitsstrategien kontinuierlich zu überprüfen und anzupassen. Der Schutz von Cloud-Umgebungen erfordert nicht nur technische Maßnahmen, sondern auch ein Bewusstsein für die potenziellen Risiken und die Implementierung von Best Practices in der IT-Sicherheit.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!