Container-Umgebungen: Einfallstor für Krypto-Miner Dero

Container-Umgebungen: Einfallstor für Krypto-Miner Dero

Experten von Kaspersky Security Services haben eine Cyberangriffskampagne identifiziert, die auf containerisierte Umgebungen abzielt. Sobald Angreifer eine unsicher veröffentlichte Docker-API identifizieren, kompromittieren sie entweder bestehende Container oder erstellen neue schädliche Container basierend auf einem legitimen Standard-Ubuntu-Image.

Anschließend injizieren sie zwei Malware-Typen in die kompromittierten Container:

• „cloud“, ein Dero-Kryptowährungs-Miner, und
• „nginx“, eine Schadsoftware, die die Persistenz aufrechterhält, die Ausführung des Miners sicherstellt und nach anderen exponierten Umgebungen sucht. Diese Malware ermöglicht es Angreifern, ohne herkömmliche Command-and-Control-Server (C2) zu agieren. Stattdessen scannt jeder infizierte Container unabhängig das Internet und kann den Miner auf neue Ziele verteilen.

Die Angreifer betteten die Namen „nginx“ und „cloud“ direkt in die Binärdatei Dabei handelt es sich um eine übliche Tarnungstaktik, bei der die Nutzlast als legitimes Tool getarnt wird, um sowohl Analysten als auch automatisierte Abwehrmechanismen zu täuschen.

Die Kaspersky-Experten entdeckten diese schädliche Kampagne im Rahmen eines Kompromittierungsbewertungsprojektes. Ihrer Expertise zufolge kann jedes Unternehmen, das containerisierte Infrastruktur betreibt und Docker-APIs ohne robuste Sicherheitskontrollen exponiert, ein potenzielles Ziel sein. Dazu gehören Technologieunternehmen, Softwareentwicklungsfirmen, Hosting-Anbieter, Cloud-Service-Anbieter und weitere Unternehmen.

Laut Shodan werden im Jahr 2025 weltweit durchschnittlich 485 Docker-API-Standardports pro Monat veröffentlicht. Dies veranschaulicht die potenzielle Angriffsfläche der Kampagne. China verzeichnet mit durchschnittlich 138 Veröffentlichungen die höchste durchschnittliche monatliche Anzahl – gefolgt von Deutschland (97), den USA (58), Brasilien (16) und Singapur (13).

Amged Wageh, Experte für Incident Response und Kompromittierungsbewertung bei Kaspersky Security Services, erklärt dazu: „Die Kampagne hat das Potenzial für ein exponentielles Wachstum der Infektionen. Jeder kompromittierte Container fungiert als neue Angriffsquelle, sofern in den potenziell betroffenen Netzwerken nicht umgehend Sicherheitsmaßnahmen ergriffen werden. Container sind grundlegend für Softwareentwicklung, -bereitstellung und -skalierbarkeit. Ihre weit verbreitete Verwendung in Cloud-nativen Umgebungen, DevOps und Microservices-Architekturen macht sie zu einem attraktiven Ziel für Cyberkriminelle. Diese wachsende Abhängigkeit erfordert von Unternehmen einen umfassenden Sicherheitsansatz – eine Kombination aus robusten Sicherheitslösungen, proaktiver Bedrohungssuche und regelmäßigen Kompromittierungsbewertungen.“

Empfehlung zum Schutz von Container-Umgebungen

• Unternehmen, die Docker-APIs verwenden, sollten die Sicherheit potenziell gefährdeter Infrastrukturen überprüfen. Insbesondere sollten sie die Docker-APIs nur veröffentlichen, wenn ein betrieblicher Bedarf besteht, und die Sicherung der veröffentlichten Docker-APIs über TLS in Erwägung ziehen.
• Assessments nutzen, die aktive Cyberangriffe und bisher unbekannte Angriffe identifizieren.
• Spezielle Sicherheitslösungen für Container-Umgebungen nutzen. Diese bieten Sicherheit für alle Phasen der Entwicklung containerisierter Anwendungen.