Cyberkriminelle nutzen Docker-Schwachstellen für Krypto-Mining

LONDON (IT BOLTWISE) – In einer zunehmend digitalisierten Welt, in der Cloud-Technologien und Containerisierung eine zentrale Rolle spielen, geraten Sicherheitslücken in den Fokus von Cyberkriminellen. Jüngste Berichte zeigen, dass Angreifer Docker-Umgebungen ins Visier nehmen, um Kryptowährungen zu schürfen.

Die Nutzung von Docker-Containern hat in den letzten Jahren stark zugenommen, da sie eine flexible und effiziente Möglichkeit bieten, Anwendungen zu entwickeln und bereitzustellen. Doch mit dieser Popularität kommen auch neue Sicherheitsrisiken. Cyberkriminelle haben begonnen, Schwachstellen in Docker-APIs auszunutzen, um unbemerkt Kryptowährungen zu schürfen. Diese Angriffe nutzen das Tor-Netzwerk, um ihre Aktivitäten zu verschleiern und die Herkunft der Angriffe zu anonymisieren.

Trend Micro, ein führendes Unternehmen im Bereich der Cybersicherheit, hat kürzlich eine Analyse veröffentlicht, die zeigt, wie Angreifer Docker-APIs missbrauchen. Durch fehlerhafte Konfigurationen können Angreifer Zugang zu Container-Umgebungen erhalten. Einmal eingedrungen, nutzen sie Tor, um ihre Spuren zu verwischen, während sie Krypto-Miner installieren. Diese Vorgehensweise ermöglicht es den Angreifern, ihre Aktivitäten zu verbergen und die Kontrolle über die kompromittierten Systeme zu behalten.

Der Angriff beginnt typischerweise mit einer Anfrage von einer bestimmten IP-Adresse, um eine Liste aller Container auf dem Zielsystem zu erhalten. Sind keine Container vorhanden, erstellen die Angreifer einen neuen Container basierend auf dem ‘alpine’-Docker-Image. Dabei wird das Verzeichnis ‘/hostroot’ als Volume eingebunden, was ein erhebliches Sicherheitsrisiko darstellt, da es den Angreifern ermöglicht, auf das Host-System zuzugreifen und Dateien zu ändern.

Ein entscheidender Schritt in diesem Angriff ist die Ausführung eines Base64-codierten Shell-Skripts, das Tor auf dem Container einrichtet. Anschließend wird ein Remote-Skript von einer .onion-Domain abgerufen und ausgeführt. Diese Taktik ist typisch für Angriffe, die darauf abzielen, die Infrastruktur für die Kommando- und Kontrollkommunikation zu verbergen und Malware oder Krypto-Miner in kompromittierten Umgebungen zu installieren.

Ein weiteres Merkmal dieser Angriffe ist die Verwendung von ‘socks5h’, um den gesamten Datenverkehr und die DNS-Auflösung über Tor zu leiten. Dies erhöht die Anonymität und erschwert die Erkennung der Angriffe. Sobald der Container erstellt ist, wird ein Shell-Skript namens ‘docker-init.sh’ ausgeführt, das die SSH-Konfiguration des Systems ändert, um den Fernzugriff zu ermöglichen. Dazu gehört das Aktivieren des Root-Logins und das Hinzufügen eines vom Angreifer kontrollierten SSH-Schlüssels.

Die Angreifer installieren zudem verschiedene Tools wie masscan, libpcap, zstd und torsocks, um Informationen über das infizierte System an den Kommando- und Kontrollserver zu senden. Schließlich wird ein Binärprogramm bereitgestellt, das als Dropper für den XMRig-Kryptowährungs-Miner dient, zusammen mit den notwendigen Mining-Konfigurationen, Wallet-Adressen und Mining-Pool-URLs.

Diese Angriffe zeigen einen besorgniserregenden Trend auf, bei dem schlecht gesicherte Cloud-Umgebungen für Krypto-Mining-Zwecke ausgenutzt werden. Unternehmen aus den Bereichen Technologie, Finanzdienstleistungen und Gesundheitswesen sind besonders betroffen. Die Sicherheitsfirma Wiz hat zudem entdeckt, dass in öffentlichen Code-Repositories zahlreiche validierte Geheimnisse gefunden wurden, die ein potenzielles Risiko für Unternehmen darstellen.

Die zunehmende Komplexität und Vernetzung von IT-Infrastrukturen erfordert ein Umdenken in der Sicherheitsstrategie. Unternehmen müssen sicherstellen, dass ihre Cloud-Umgebungen ordnungsgemäß konfiguriert und überwacht werden, um solche Angriffe zu verhindern. Die Zusammenarbeit mit Cybersicherheitsfirmen und die Implementierung von Best Practices sind entscheidend, um die Integrität und Sicherheit der Systeme zu gewährleisten.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!