Cyber-Kriminelle infizieren Docker Hosts mit einer offenen API, und suchen Sie dann nach ähnlicher mit Shodan Service

Angreifern scannen das Internet für Docker Installationen mit offenen APIs und nutzen sie durch Bergbau Monero Kryptowährung und Scripts infiziert bösartige Docker Bilder zu verteilen, die Shodan für die Suche nach neuen Opfern verwenden.

Eine neue Kampagne wurde festgestellt, durch Trend Micro Forscher nach einem böswilligen Bild mit einem Krypto-Bergmann wurde auf einer ihrer Fanganlagen geladen.

„Durch die Protokolle analysieren und Verkehrsdaten kommen zu und von dem Honeypot, wir gelernt, dass der Behälter aus einem öffentlichen kam (und damit zugänglich) Docker Hub-Repository namens zoolu2. Bei der Überprüfung und das Herunterladen der Inhalte des Repository, wir fanden, dass es neun Bilder enthalten, die aus maßgefertigte Schalen, Python-Skripten, Konfigurationsdateien, sowie Shodan und Kryptowährung-Mining-Software-Binärdateien“, - sagte INTREND Micro.

Nach Meinung von Experten, die Angreifer ein Skript verwenden, um gefährdete Hosts mit einem offenen Port zu finden, 2375, hacken sie mit brutaler Gewalt, und installieren Sie dann bösartige Container.

Wie bereits erläutert Experten der Alibaba Wolke Sicherheits Team, die aufgezeichneten auch die Angriffe, die falsch konfiguriert Docker Remote API für den unbefugten Zugriff auf Daten verwendet werden Docker, Diebstahl oder Veränderung wichtiger Informationen oder Abfangen von Kontrolle über den Server.

Infektionskette
Infektionskette

Angreifer verwenden offene APIs Befehle auf dem Host auszuführen Docker, so dass sie Behälter verwalten oder erstellen Sie neue Bilder aus dem Repository, indem sie auf dem kontrollierten Docker Hub.

Trend Micro-Spezialisten verwaltet eine dieser Repositories verfolgen. Benutzer mit Pseudonym zoolu2 besaß es, und das Repository selbst enthalten neun Bilder, einschließlich kundenspezifischer shell, Python-Skripten, Konfigurationsdateien, sowie Shodan Skripte und Kryptowährung Mining-Software.

„Bösartige Docker Bilder werden automatisch mit einem Skript verteilt, das überprüft“ hosts für öffentlich zugänglichen APIs „und verwendet Befehle Docker (POST / Behälter / erstellen) zum Erstellen der Ferne einen böswilligen Behälters. Das gleiche Skript startet den SSH-Daemon für Remote-Kommunikation mit den Angreifern“, - Trend Micro informiert Spezialisten.

Nächster, Krypto-Liner und der Scan-Vorgang gleichzeitig gestartet für neue verwundbar Hosts suchen. iplist.txt Datei enthält die Liste der Opfer’ IP-Adressen enthalten, die auf Duplikate geprüft und dann an die Angreifer auf C geschickt&C-Server.

Obwohl die Docker Team gelöscht hat bereits die „böswillige“ Repository, Experten sagen, dass es andere ähnliche Konten auf dem Docker Hub sind, und wenn sie gelöscht, die Angreifer sind die Umstellung auf die neuen.

Quellen: https://blog.trendmicro.com, https://www.alibabacloud.com/blog

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

MageCart auf der Heroku Cloud Platform

Die Forscher fanden mehrere MageCart Web Skimmer Auf Heroku Cloud Platform

Forscher an Malwarebytes berichteten über mehr MageCart Web-Skimmer auf der Heroku Cloud-Plattform zu finden, …

Android Spyware CallerSpy

CallerSpy Spyware Masken als Android-Chat-Anwendung

Trend Micro Experten entdeckt die Malware CallerSpy, die Masken als Android-Chat-Anwendung, und, …

Hinterlasse eine Antwort