Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Cryptojacking-Angriff missbraucht Docker-API für Swarm-Botnet

Cybersicherheitsforscher haben eine raffinierte Kryptojacking-Kampagne enthüllt, die auf Docker-Engine-APIs abzielt. Ziel der Angriffe ist es, die Docker-Instanzen in einen bösartigen Docker-Schwarm einzubinden, der vollständig unter der Kontrolle des Bedrohungsakteurs steht. Die Attacke nutzt Schwachstellen in ungeschützten Docker-APIs, um Kryptowährungs-Mining in großem Stil zu betreiben und dabei lateral auf andere Systeme im Netzwerk überzugreifen.

Lesezeit 3 Min.

Wie die Sicherheitsexperten Matt Muir und Andy Giron von Datadog in einer Analyse erklären, nutzen Die Angreifer Docker Swarm’s Orchestrierungsfunktionen für Command-and-Control-Zwecke (C2). Die Angriffe verwenden Docker, um zunächst Zugriff zu erhalten und einen Krypto-Miner auf kompromittierten Containern zu installieren. Gleichzeitig werden zusätzliche Schadprogramme abgerufen und ausgeführt, die für die seitliche Ausbreitung auf verwandte Hosts verantwortlich sind, die Docker, Kubernetes oder SSH nutzen.

Konkret scannen die Angreifer mit Tools wie masscan und ZGrab nach ungesicherten und exponierten Docker-API-Endpunkten im Internet. Auf anfälligen Endpunkten wird die Docker-API genutzt, um einen Alpine-Container zu starten und ein Initialisierungsskript (init.sh) von einem entfernten Server (solscan[.]live) abzurufen. Dieses Skript überprüft dann, ob es mit Root-Rechten läuft und ob Tools wie curl und wget installiert sind, bevor der XMRig-Miner heruntergeladen wird.

Wie andere Cryptojacking-Kampagnen nutzt auch diese das Rootkit libprocesshider, um den bösartigen Miner-Prozess vor dem Benutzer zu verbergen – etwa wenn dieser Tools zur Prozessaufzählung wie top und ps ausführt.

Das Shell-Skript ist zudem so programmiert, dass es drei weitere Shell-Skripte – kube.lateral.sh, spread_docker_local.sh und spread_ssh.sh – von demselben Server abruft. Diese Skripte helfen dabei, sich im Netzwerk seitlich zu Docker-, Kubernetes- und SSH-Endpunkten zu bewegen.

spread_docker_local.sh „verwendet masscan und zgrab, um die gleichen LAN-Bereiche nach Knoten mit den offenen Ports 2375, 2376, 2377, 4244 und 4243 zu scannen“, erklären die Experten. „Diese Ports stehen entweder mit der Docker Engine oder Docker Swarm in Verbindung.“

Die Malware durchsucht alle IP-Adressen, die offene Zielports aufweisen, und versucht dann, einen neuen Container mit dem Namen alpine zu erstellen. Dieser Container basiert auf einem Image namens upspin, das vom Benutzer nmlmweb3 auf Docker Hub gehostet wird.

Das upspin-Image führt das zuvor erwähnte init.sh-Skript aus und ermöglicht es der Malware, sich wie ein Wurm auf andere Docker-Hosts auszubreiten.

Zusätzlich wird das Docker-Image-Tag, das für den Abruf des Images von Docker Hub verwendet wird, in einer Textdatei auf dem C2-Server hinterlegt. So können die Angreifer schnell auf mögliche Abschaltungen reagieren, indem sie einfach den Inhalt der Datei ändern und auf ein anderes Container-Image verweisen.

Das dritte Skript, spread_ssh.sh, dient dazu, SSH-Server zu kompromittieren. Es fügt einen neuen SSH-Schlüssel und einen Benutzer namens ftp hinzu, der den Angreifern ermöglicht, sich aus der Ferne mit den Hosts zu verbinden und dauerhaft Zugriff zu behalten.

Zusätzlich durchsucht das Skript nach Anmeldedateien für SSH, Amazon Web Services (AWS), Google Cloud und Samba, die in festgelegten Dateipfaden in der GitHub Codespaces-Umgebung (zum Beispiel im Verzeichnis „/home/codespace/“) abgelegt sind. Wenn solche Dateien gefunden werden, lädt die Malware sie auf den C2-Server hoch.

Datadog entdeckte zudem drei weitere Skripte auf dem C2-Server:

  • ar.sh: Eine Variante von init.sh, die die iptables-Regeln ändert und Protokolle sowie Cron-Jobs löscht, um eine Entdeckung zu vermeiden.
  • TDGINIT.sh: Dieses Skript lädt Scanning-Tools herunter und platziert einen bösartigen Container auf jedem erkannten Docker-Host.
  • pdflushs.sh: Es installiert eine dauerhafte Hintertür, indem es einen vom Angreifer kontrollierten SSH-Schlüssel zur Datei /root/.ssh/authorized_keys hinzufügt.

Besonders bemerkenswert ist, dass TDGINIT.sh Docker Swarm manipuliert, indem es den Host zwingt, jeglichen bestehenden Swarm zu verlassen und ihn einem neuen Swarm unter der Kontrolle der Angreifer hinzufügt.

Es ist derzeit unklar, wer hinter der Angriffskampagne steckt, aber die verwendeten Taktiken, Techniken und Verfahren überschneiden sich mit denen der bekannten Bedrohungsgruppe TeamTNT. „Diese Kampagne zeigt, dass Dienste wie Docker und Kubernetes weiterhin attraktive Ziele für Bedrohungsakteure sind, die groß angelegte Kryptojacking-Angriffe durchführen“, so Datadog.

Die Angriffe nutzen Docker-API-Endpunkte aus, die ohne Authentifizierung öffentlich zugänglich sind. Dank der Fähigkeit der Malware, sich schnell zu verbreiten, bleibt das Risiko gering, aber die möglichen Gewinne sind hoch genug, um Cloud-orientierte Malware-Gruppen dazu zu bewegen, diese Angriffe fortzusetzen.

Gleichzeitig entdeckte Elastic Security Labs eine komplexe Linux-Malware-Kampagne, die auf anfällige Apache-Server abzielt. Diese Kampagne nutzt GSocket, um Malware wie Kaiji und RUDEDEVIL (auch bekannt als Lucifer) einzuschleusen, die für DDoS-Angriffe und Kryptomining verwendet werden. Laut den Forschern Remco Sprooten und Ruben Groenewoud umfasst die REF6138-Kampagne Kryptomining, DDoS-Angriffe und möglicherweise Geldwäsche über Glücksspiel-APIs. Dabei setzen die Angreifer auf sich weiterentwickelnde Malware und verschleierte Kommunikationskanäle.

Diesen Beitrag teilen: