Docker-Exploits: Kryptowährungs-Mining über das Tor-Netzwerk

LONDON (IT BOLTWISE) – Eine neue Angriffskampagne hat Sicherheitslücken in Docker Remote APIs ausgenutzt, um Kryptowährungs-Miner über das Tor-Netzwerk zu installieren. Diese raffinierte Methode nutzt die Anonymität des Tor-Netzwerks, um die Aktivitäten der Angreifer zu verschleiern und die Erkennung zu erschweren.

In der jüngsten Vergangenheit haben Cyberkriminelle eine clevere Angriffsmethode entwickelt, die Docker’s Remote API mit dem Tor-Anonymitätsnetzwerk kombiniert, um heimlich Kryptowährungen auf den Systemen der Opfer zu schürfen. Diese Angriffe zielen besonders auf Branchen ab, die stark auf Cloud-Technologien setzen, wie Technologieunternehmen, Finanzdienstleister und Gesundheitsorganisationen.

Die Angreifer nutzen falsch konfigurierte Docker-APIs, um Zugang zu containerisierten Umgebungen zu erhalten. Durch die Nutzung von Tor können sie ihre Aktivitäten verschleiern und Krypto-Miner unbemerkt installieren. Ein bemerkenswertes Werkzeug, das in diesem Zusammenhang verwendet wird, ist zstd, ein auf dem ZStandard-Algorithmus basierendes Tool, das für sein starkes Kompressionsverhältnis und seine schnelle Dekompressionsgeschwindigkeit bekannt ist.

Der Angriff beginnt mit einem Zugriff auf einen absichtlich exponierten Docker Remote API-Server, der dazu dient, das Verhalten von Exploits in freier Wildbahn zu überwachen. Die Angreifer erstellen einen neuen Container basierend auf dem ‘alpine’-Docker-Image und montieren das Host-Root-Verzeichnis in den Container, um auf das Host-System zuzugreifen oder es zu manipulieren. Der Befehl im Payload ist base64-codiert, um seine Absicht zu verschleiern und einfache String-basierte Erkennungen zu vermeiden.

Innerhalb des Containers wird Tor eingerichtet, um anonym ein entferntes Skript von einem versteckten ‘.onion’-Server abzurufen und auszuführen. Diese Taktik wird häufig verwendet, um die Command-and-Control-Infrastruktur zu verbergen, die Erkennung zu vermeiden und Malware oder Miner in kompromittierten Cloud- oder Containerumgebungen bereitzustellen. Der gesamte Datenverkehr und die DNS-Auflösung werden über Tor geleitet, um die Anonymität und Umgehung zu verbessern.

Das bösartige Shell-Skript ‘docker-init.sh’, das über das Tor-Netzwerk abgerufen wird, modifiziert die SSH-Konfiguration auf dem Host, um Root-Login und Pubkey-Authentifizierung zu ermöglichen und einen persistenten Backdoor-Zugang zu etablieren. Es installiert auch notwendige Werkzeuge wie masscan, libpcap und torsocks, um die Angriffe weiter zu unterstützen.

Der Angriff endet mit dem Herunterladen und Ausführen eines bösartigen Binaries, das als Dropper für den XMRig-Kryptowährungs-Miner fungiert. Dieser Dropper enthält alle notwendigen Ausführungsschritte intern, was den Angreifern hilft, die Erkennung zu vermeiden und die Bereitstellung in kompromittierten Umgebungen zu vereinfachen.

Um sich vor solchen Angriffen zu schützen, sollten Organisationen sicherstellen, dass ihre Container und APIs korrekt konfiguriert sind. Es wird empfohlen, nur offizielle oder zertifizierte Images zu verwenden und Sicherheitsüberprüfungen in regelmäßigen Abständen durchzuführen, um verdächtige Container und Images zu identifizieren.

Diese Angriffe verdeutlichen die ausgeklügelten Methoden, die von böswilligen Akteuren eingesetzt werden, um Docker-APIs und das Tor-Netzwerk zu nutzen, um ihre Aktivitäten zu verschleiern. Durch das Verständnis dieser Angriffe können Unternehmen ihre Verteidigungsmaßnahmen stärken und ihre kritische Infrastruktur schützen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!