Krypto-Mining über fehlkonfigurierte Docker-APIs und das TOR-Netzwerk : Wie Angreifer Container-Fehler und TOR kombinieren, um Cloud-Ressourcen für Cryptojacking zu missbrauchen.
Eine aktuelle Angriffskampagne nutzt unsichere Docker-Installationen, um über das anonyme TOR-Netzwerk Krypto-Miner in Cloud-Umgebungen zu platzieren. Besonders betroffen sind Technologieunternehmen, Finanzdienstleister und der Gesundheitssektor. Die Angreifer verschleiern nicht nur ihre Herkunft, sondern verschaffen sich gezielt dauerhaften Zugriff auf kompromittierte Systeme.
Sicherheitsanalysten von Trend Micro berichten über eine Angriffswelle, bei der fehlkonfigurierte Docker-APIs ausgenutzt werden, um Containerumgebungen zu kompromittieren. Die Angriffe starten mit einem Aufruf an eine exponierte Docker-Schnittstelle – ausgehend von der IP-Adresse 198.199.72[.]27 –, mit dem sich Angreifer eine Übersicht über vorhandene Container verschaffen.
Sind keine Container vorhanden, wird automatisiert ein neuer Container auf Basis des Images „alpine“ erstellt. Dabei wird das Root-Verzeichnis des Hostsystems (“/”) über das Verzeichnis „/hostroot“ als Volume eingebunden. Dieses Vorgehen birgt besondere Risiken: Es ermöglicht einen sogenannten Container Escape – also den Bruch der Isolation zwischen Container und Hostsystem.
TOR im Container: Anonymität und Ausweitung der Kontrolle
Ziel der Kampagne ist die verdeckte Installation eines Krypto-Miners. Dazu wird ein Base64-kodiertes Shell-Skript ausgeführt, das während der Container-Erstellung den TOR-Dienst einrichtet. Über ein Onion-Link (wtxqf54djhp5pskv[…]onion) wird anschließend ein Remote-Skript nachgeladen, das als Einfallstor für weitere Aktivitäten dient.
Sämtlicher Netzwerkverkehr, inklusive DNS-Auflösung, wird über das Protokoll „socks5h“ vollständig durch das TOR-Netzwerk geleitet – ein bewährter Mechanismus zur Verschleierung der Infrastruktur, zur Umgehung von Firewalls und zur Abwehr gängiger Erkennungstechniken.
Systemmanipulation für dauerhaften Zugriff
Im nächsten Schritt wird das Skript „docker-init.sh“ ausgeführt. Es erkennt das eingebundene Hostverzeichnis und passt die SSH-Konfiguration so an, dass Root-Login erlaubt ist. Gleichzeitig wird ein vom Angreifer kontrollierter öffentlicher SSH-Schlüssel in die Datei ~/.ssh/authorized_keys geschrieben – damit wird ein persistenter Fernzugriff auf das Hostsystem eingerichtet.
Die Angreifer installieren zusätzlich Werkzeuge wie masscan, libpcap, zstd und torsocks, um Netzwerkscans durchzuführen, Daten zu komprimieren und alle Verbindungen weiterhin durch TOR zu tunneln. Nach erfolgreicher Ausführung wird ein Binärprogramm geladen, das als Dropper für den XMRig-Kryptominer dient – inklusive Wallet-Adresse, Konfigurationsdateien und Mining-Pool-URLs.
Laut Trend Micro zielt die Kampagne auf besonders lukrative Zielgruppen: Technologieunternehmen, Finanzdienstleister und Organisationen im Gesundheitswesen. Die automatisierte und gut getarnte Infrastruktur erlaubt es den Angreifern, sich unauffällig in Cloud-Umgebungen einzunisten und dort über längere Zeiträume hinweg Kryptowährungen zu schürfen – auf Kosten der betroffenen Organisationen.
Verstärkter Trend: Cloud-Schwachstellen als Ziel
Diese Kampagne steht exemplarisch für eine wachsende Bedrohungslage: Fehlkonfigurierte Cloud-Dienste wie Docker, Kubernetes oder öffentlich zugängliche API-Schnittstellen bieten Einfallstore für Cyberangriffe – besonders im Kontext von Cryptojacking. Hinzu kommt eine hohe Dunkelziffer: Viele Unternehmen erkennen derartige Attacken erst spät oder gar nicht, da die Systeme nicht direkt zerstört, sondern lediglich „mitgenutzt“ werden.
Gleichzeitig warnt das Sicherheitsunternehmen Wiz vor einem weiteren Risiko: In öffentlich zugänglichen Code-Repositories wurden zahlreiche gültige Zugangsdaten und Geheimnisse gefunden – etwa in Konfigurationsdateien wie mcp.json, .env oder Python-Notebooks. Diese Informationen könnten für gezielte Angriffe genutzt werden, insbesondere zur Vorbereitung von Cloud-Exploitation oder Social Engineering.
Das Cloud-Sicherheitsunternehmen gab an, gültige Zugangsdaten von über 30 Unternehmen und Start-ups gefunden zu haben – darunter auch solche von Fortune-100-Konzernen.
„Nicht nur die hinterlegten Zugangsdaten selbst, sondern auch die Ergebnisse von Code-Ausführungen in Python-Notebooks sollten grundsätzlich als sensibel betrachtet werden“, betonen die Sicherheitsexperten Shay Berkovich und Rami McCarthy. „Wenn deren Inhalte mit einer bestimmten Entwicklerorganisation in Verbindung gebracht werden können, liefern sie potenziell wertvolle Aufklärungsinformationen für Angreifer.“
Die Kombination aus Docker-Fehlkonfiguration, TOR-Anonymität und automatisiertem Krypto-Mining zeigt, wie professionell moderne Angriffe inzwischen orchestriert werden. Unternehmen sollten Container-APIs grundsätzlich absichern, standardisierte Sicherheitsrichtlinien umsetzen und regelmäßig auf ungewöhnliche Aktivitäten prüfen. Insbesondere in cloudbasierten Infrastrukturen ist eine kontinuierliche Überwachung von Zugriffen, Container-Konfigurationen und Datenflüssen unverzichtbar.