Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
https://www.secnews.gr/649499/neo-aftodiadidomeno-malware-molinei-docker-containers/
May 28th 2025, 13:29
by Absenta Mia
Κακώς διαμορφωμένα instances του Docker API έχουν γίνει στόχος μιας νέας καμπάνιας malware, η οποία τα μετατρέπει σε botnet για εξόρυξη κρυπτονομίσματος.
Δείτε επίσης: Google Ads διαδίδουν malware μέσω ψεύτικου Homebrew Site
Οι επιθέσεις, οι οποίες αποσκοπούν στην εξόρυξη του νομίσματος Dero, ξεχωρίζουν για τις ικανότητες τύπου «worm» (worm-like) που επιτρέπουν στο malwarre να εξαπλώνεται σε άλλα εκτεθειμένα Docker instances, εντάσσοντάς τα σε ένα διαρκώς αυξανόμενο δίκτυο εξόρυξης.
Η Kaspersky ανέφερε ότι ένας άγνωστος επιτιθέμενος απέκτησε αρχική πρόσβαση σε ένα τρέχον περιβάλλον με κοντέινερ, εκμεταλλευόμενος ένα μη ασφαλώς δημοσιευμένο Docker API. Στη συνέχεια, χρησιμοποίησε αυτή την πρόσβαση για να δημιουργήσει ένα παράνομο δίκτυο cryptojacking. Η αλυσίδα της επίθεσης υλοποιείται μέσω δύο στοιχείων: ενός malware εξάπλωσης με την ονομασία "nginx", το οποίο σαρώνει το διαδίκτυο για εκτεθειμένα Docker APIs, και του "cloud" miner για το κρυπτονόμισμα Dero. Και τα δύο φορτία έχουν αναπτυχθεί σε γλώσσα Golang. Η χρήση της ονομασίας "nginx" είναι σκόπιμη, καθώς προσπαθεί να μιμηθεί τον νόμιμο web server nginx και να παραμένει απαρατήρητο.
Το κακόβουλο λογισμικό εξάπλωσης έχει σχεδιαστεί ώστε να καταγράφει τις τρέχουσες δραστηριότητες του κακόβουλου λογισμικού, να εκκινεί τον miner και να εισέρχεται σε έναν ατέρμονο βρόγχο δημιουργίας τυχαίων υποδικτύων IPv4. Ο στόχος είναι ο εντοπισμός Docker instances που είναι ευάλωτα επειδή έχουν ανοιχτή τη θύρα 2375 του API στις προεπιλεγμένες ρυθμίσεις, ώστε να παραβιαστούν.
Στη συνέχεια, το malware ελέγχει εάν ο απομακρυσμένος docker daemon (dockerd) στον εξυπηρετητή με το αντίστοιχο IPv4 εκτελείται και αποκρίνεται. Αν αποτύχει η εκτέλεση της εντολής "docker -H PS", το "nginx" απλώς προχωρά στην επόμενη διεύθυνση IP από τη λίστα.
Δείτε ακόμα: Fake sites Zenmap και WinMTR διανέμουν το Bumblebee malware
Το εργαλείο εξάπλωσης εγκαθιστά στη συνέχεια τα πακέτα masscan και docker.io στο container, ώστε να μπορεί το κακόβουλο λογισμικό να αλληλεπιδρά με τον Docker daemon και να εκτελεί εξωτερική σάρωση για να μολύνει και άλλα δίκτυα — επεκτείνοντας έτσι περαιτέρω την εξάπλωσή του.
Στο τελικό στάδιο, τα δύο φορτία ("nginx" και "cloud") μεταφέρονται στο container χρησιμοποιώντας την εντολή: "docker -H cp -L /usr/bin/ :/usr/bin".
Ως μέσο διατήρησης της επίμονης παρουσίας του στο σύστημα (persistence), το κακόβουλο εκτελέσιμο αρχείο "nginx" που μεταφέρεται στο container, προστίθεται στο αρχείο "/root/.bash_aliases", ώστε να εκκινείται αυτόματα κάθε φορά που γίνεται login στο shell.
Ένα ακόμη σημαντικό χαρακτηριστικό του malware είναι ότι έχει επίσης σχεδιαστεί να μολύνει Docker κοντέινερ με λειτουργικό σύστημα βασισμένο στο Ubuntu, τα οποία εκτελούνται σε απομακρυσμένα ευάλωτα συστήματα. Ο τελικός στόχος της καμπάνιας είναι η εκτέλεση ενός miner για το κρυπτονόμισμα Dero, ο οποίος βασίζεται στον ανοιχτού κώδικα DeroHE CLI miner που είναι διαθέσιμος στο GitHub.
Η Kaspersky εκτιμά ότι αυτή η δραστηριότητα σχετίζεται με καμπάνια εξόρυξης Dero που είχε καταγραφεί προηγουμένως από την CrowdStrike τον Μάρτιο του 2023 και στόχευε Kubernetes clusters, βάσει της διεύθυνσης πορτοφολιού και των κόμβων derod που χρησιμοποιήθηκαν. Μια μεταγενέστερη εκδοχή της ίδιας καμπάνιας επισημάνθηκε από την Wiz τον Ιούνιο του 2024.
Δείτε επίσης: Operation Endgame 2.0: Οι αρχές "χτύπησαν" malware επιχειρήσεις
Όλο και περισσότερες εταιρείες και οργανισμοί χρησιμοποιούν Docker για την ανάπτυξη εφαρμογών με κοντέινερ. Ωστόσο, πολλοί αφήνουν εκτεθειμένες στο διαδίκτυο τις Docker APIs χωρίς επαρκή μέτρα ασφαλείας, όπως έλεγχο ταυτότητας ή firewall. Αυτή η κακή πρακτική αποτελεί "χρυσή ευκαιρία" για κυβερνοεγκληματίες, οι οποίοι σαρώνουν συνεχώς το διαδίκτυο για τέτοια ευάλωτα endpoints. Καμπάνιες όπως αυτή που περιγράφηκε, όπου το κακόβουλο λογισμικό εγκαθίσταται αυτόματα, εξαπλώνεται σε άλλους hosts και στήνει ένα δίκτυο εξόρυξης κρυπτονομισμάτων, δείχνουν πόσο εύκολα μπορεί να γίνει κατάχρηση μιας ανοιχτής θύρας (όπως η 2375 για Docker) χωρίς καν να απαιτείται σύνθετη εκμετάλλευση ευπάθειας.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Νέο αυτοδιαδιδόμενο malware μολύνει τα Docker Containers
https://www.secnews.gr/649499/neo-aftodiadidomeno-malware-molinei-docker-containers/
May 28th 2025, 13:29
by Absenta Mia
Κακώς διαμορφωμένα instances του Docker API έχουν γίνει στόχος μιας νέας καμπάνιας malware, η οποία τα μετατρέπει σε botnet για εξόρυξη κρυπτονομίσματος.
Δείτε επίσης: Google Ads διαδίδουν malware μέσω ψεύτικου Homebrew Site
Οι επιθέσεις, οι οποίες αποσκοπούν στην εξόρυξη του νομίσματος Dero, ξεχωρίζουν για τις ικανότητες τύπου «worm» (worm-like) που επιτρέπουν στο malwarre να εξαπλώνεται σε άλλα εκτεθειμένα Docker instances, εντάσσοντάς τα σε ένα διαρκώς αυξανόμενο δίκτυο εξόρυξης.
Η Kaspersky ανέφερε ότι ένας άγνωστος επιτιθέμενος απέκτησε αρχική πρόσβαση σε ένα τρέχον περιβάλλον με κοντέινερ, εκμεταλλευόμενος ένα μη ασφαλώς δημοσιευμένο Docker API. Στη συνέχεια, χρησιμοποίησε αυτή την πρόσβαση για να δημιουργήσει ένα παράνομο δίκτυο cryptojacking. Η αλυσίδα της επίθεσης υλοποιείται μέσω δύο στοιχείων: ενός malware εξάπλωσης με την ονομασία "nginx", το οποίο σαρώνει το διαδίκτυο για εκτεθειμένα Docker APIs, και του "cloud" miner για το κρυπτονόμισμα Dero. Και τα δύο φορτία έχουν αναπτυχθεί σε γλώσσα Golang. Η χρήση της ονομασίας "nginx" είναι σκόπιμη, καθώς προσπαθεί να μιμηθεί τον νόμιμο web server nginx και να παραμένει απαρατήρητο.
Το κακόβουλο λογισμικό εξάπλωσης έχει σχεδιαστεί ώστε να καταγράφει τις τρέχουσες δραστηριότητες του κακόβουλου λογισμικού, να εκκινεί τον miner και να εισέρχεται σε έναν ατέρμονο βρόγχο δημιουργίας τυχαίων υποδικτύων IPv4. Ο στόχος είναι ο εντοπισμός Docker instances που είναι ευάλωτα επειδή έχουν ανοιχτή τη θύρα 2375 του API στις προεπιλεγμένες ρυθμίσεις, ώστε να παραβιαστούν.
Στη συνέχεια, το malware ελέγχει εάν ο απομακρυσμένος docker daemon (dockerd) στον εξυπηρετητή με το αντίστοιχο IPv4 εκτελείται και αποκρίνεται. Αν αποτύχει η εκτέλεση της εντολής "docker -H PS", το "nginx" απλώς προχωρά στην επόμενη διεύθυνση IP από τη λίστα.
Δείτε ακόμα: Fake sites Zenmap και WinMTR διανέμουν το Bumblebee malware
Το εργαλείο εξάπλωσης εγκαθιστά στη συνέχεια τα πακέτα masscan και docker.io στο container, ώστε να μπορεί το κακόβουλο λογισμικό να αλληλεπιδρά με τον Docker daemon και να εκτελεί εξωτερική σάρωση για να μολύνει και άλλα δίκτυα — επεκτείνοντας έτσι περαιτέρω την εξάπλωσή του.
Στο τελικό στάδιο, τα δύο φορτία ("nginx" και "cloud") μεταφέρονται στο container χρησιμοποιώντας την εντολή: "docker -H cp -L /usr/bin/ :/usr/bin".
Ως μέσο διατήρησης της επίμονης παρουσίας του στο σύστημα (persistence), το κακόβουλο εκτελέσιμο αρχείο "nginx" που μεταφέρεται στο container, προστίθεται στο αρχείο "/root/.bash_aliases", ώστε να εκκινείται αυτόματα κάθε φορά που γίνεται login στο shell.
Ένα ακόμη σημαντικό χαρακτηριστικό του malware είναι ότι έχει επίσης σχεδιαστεί να μολύνει Docker κοντέινερ με λειτουργικό σύστημα βασισμένο στο Ubuntu, τα οποία εκτελούνται σε απομακρυσμένα ευάλωτα συστήματα. Ο τελικός στόχος της καμπάνιας είναι η εκτέλεση ενός miner για το κρυπτονόμισμα Dero, ο οποίος βασίζεται στον ανοιχτού κώδικα DeroHE CLI miner που είναι διαθέσιμος στο GitHub.
Η Kaspersky εκτιμά ότι αυτή η δραστηριότητα σχετίζεται με καμπάνια εξόρυξης Dero που είχε καταγραφεί προηγουμένως από την CrowdStrike τον Μάρτιο του 2023 και στόχευε Kubernetes clusters, βάσει της διεύθυνσης πορτοφολιού και των κόμβων derod που χρησιμοποιήθηκαν. Μια μεταγενέστερη εκδοχή της ίδιας καμπάνιας επισημάνθηκε από την Wiz τον Ιούνιο του 2024.
Δείτε επίσης: Operation Endgame 2.0: Οι αρχές "χτύπησαν" malware επιχειρήσεις
Όλο και περισσότερες εταιρείες και οργανισμοί χρησιμοποιούν Docker για την ανάπτυξη εφαρμογών με κοντέινερ. Ωστόσο, πολλοί αφήνουν εκτεθειμένες στο διαδίκτυο τις Docker APIs χωρίς επαρκή μέτρα ασφαλείας, όπως έλεγχο ταυτότητας ή firewall. Αυτή η κακή πρακτική αποτελεί "χρυσή ευκαιρία" για κυβερνοεγκληματίες, οι οποίοι σαρώνουν συνεχώς το διαδίκτυο για τέτοια ευάλωτα endpoints. Καμπάνιες όπως αυτή που περιγράφηκε, όπου το κακόβουλο λογισμικό εγκαθίσταται αυτόματα, εξαπλώνεται σε άλλους hosts και στήνει ένα δίκτυο εξόρυξης κρυπτονομισμάτων, δείχνουν πόσο εύκολα μπορεί να γίνει κατάχρηση μιας ανοιχτής θύρας (όπως η 2375 για Docker) χωρίς καν να απαιτείται σύνθετη εκμετάλλευση ευπάθειας.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz