Image by Henrik L., from Unsplash
Самовоспроизводящийся зомби-вредоносное ПО направлено на Docker
Время для прочтения: 2 мин.
Последние обновления: May 28, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Незащищенные контейнеры Docker захватываются вредоносным ПО, которое распространяется автономно, создавая зомби-сеть для майнинга конфиденциальной криптовалюты Dero.
Спешите? Вот основные факты:
- Вредоносное ПО распространяется автономно без сервера управления и контроля, что усложняет оборону.
- Два имплантата на Golang: поддельный инструмент nginx и скрытый майнер облака Dero.
- Вредоносное ПО захватывает существующие контейнеры и автоматически создает новые вредоносные контейнеры.
Новая кампания по криптоджекингу превращает незащищенные контейнеры Docker в быстро распространяющуюся зомби-сеть, добывающую криптовалюту Dero, ориентированную на конфиденциальность. Малварь распространяется сама по себе, без сервера управления и контроля, что затрудняет ее остановку.
Исследователи из Kaspersky обнаружили инфекцию во время регулярной оценки безопасности. «Мы обнаружили ряд работающих контейнеров с вредоносной активностью», — сказали они.
Атака начинается, когда обнаруживаются открытые Docker API в интернете. Как только один из них нарушается, вредоносное программное обеспечение создает новые вредоносные контейнеры и захватывает существующие, превращая их в «зомби», которые майнят Dero и заражают другие.
Атака использует два имплантата вредоносного ПО на базе Golang, оба скрыты с помощью упаковки UPX: один называется nginx (не путать с легитимным веб-сервером), а другой — облачный майнер Dero. Kaspersky идентифицировал их как Trojan.Linux.Agent.gen и RiskTool.Linux.Miner.gen.
Вредоносное ПО nginx маскируется под легитимный веб-инструмент и поддерживает работу майнера, постоянно сканируя интернет в поисках новых целей. Он ищет открытые Docker API на порту 2375 и использует инструменты, такие как masscan, для их обнаружения. Как только он находит уязвимую систему, он развертывает поддельный контейнер Ubuntu и устанавливает вредоносное ПО.
Он также пытается захватить существующие контейнеры, проверяя наличие специального файла, version.dat. Если файл отсутствует, он устанавливает вредоносное ПО и начинает майнинг.
Облачный майнер скрывает свои кошелек и серверные адреса, используя зашифрованные строки. После расшифровки исследователи проследили их до прошлых атак на кластеры Kubernetes.
«Этот имплантат разработан для минимизации взаимодействия с оператором», — говорится в отчете, в котором предупреждают, что подобные кампании могут до сих пор быть активными.
Эксперты по безопасности предупреждают, что пока Docker API остаются открытыми в Интернете без защиты, подобные кампании по криптоджекингу будут продолжаться. Пользователям следует обезопасить свои среды Docker, отключив открытые API и усилив контроль доступа к сети.
Предыдущая история
Последние статьи 
