Wurmartige Malware kapert Docker-Container zum Dero-Mining : Malware nutzt falsch konfigurierte Docker-APIs
Eine neue Malware-Welle zielt auf falsch konfigurierte Docker-Umgebungen und verwandelt sie in eine blühende Krypto-Mining-Infrastruktur. Die Schadsoftware agiert wie ein Wurm, verbreitet sich automatisiert weiter – und bleibt dabei nahezu unsichtbar.
Moderne IT-Infrastrukturen setzen zunehmend auf Containerisierung – flexibel, skalierbar und effizient. Doch wo Docker läuft, lauern inzwischen auch vermehrt Angreifer. Sicherheitsanalysten von Kaspersky berichten von einer neuen Kampagne, bei der falsch konfigurierte Docker-APIs gezielt ausgenutzt werden. Cyberkriminelle verschaffen sich darüber Zugriff auf laufende Container, die anschließend in eine illegale Krypto-Mining-Infrastruktur eingebunden werden.
Im Fokus steht die Kryptowährung Dero –eine datenschutzorientierte Kryptowährung, die sich durch besonders starke Anonymität und schwer nachverfolgbare Transaktionen auszeichnet. Die Angriffe zielen nicht nur auf Ressourcenmissbrauch, sondern entfalten ihr volles Schadpotenzial durch einen selbstreplizierenden Wurm-Mechanismus.
Zwei Schadkomponenten mit klarer Rollenverteilung
Die Malware setzt sich aus zwei Modulen zusammen – beide in der Programmiersprache Golang entwickelt:
- „nginx“ übernimmt die automatisierte Verbreitung auf neue Ziele.
- „cloud“ ist der eigentliche Miner, der auf kompromittierten Systemen Dero schürft.
Der Name „nginx“ ist bewusst gewählt – in Anlehnung an den bekannten Webserver, um gängige Erkennungsmechanismen zu umgehen. Ein Täuschungsmanöver, das in vielen Monitoring-Umgebungen für Ruhe sorgt – obwohl im Hintergrund längst ein Angriff läuft.
So verbreitet sich die Malware durchs Netz
Das „nginx“-Modul agiert als Scanner: Es durchforstet das Internet nach offenen Docker-APIs, bevorzugt über den Standardport 2375. Wird ein Zielsystem mit erreichbarem Docker-Daemon gefunden, erstellt die Malware automatisiert einen neuen Container mit zufälligem Namen mit zwölf Zeichen.
Dort beginnt die eigentliche Arbeit: Zunächst werden Softwarepakete aktualisiert, dann zwei entscheidende Werkzeuge installiert –
- masscan, um weitere Netzwerke blitzschnell zu scannen
- docker.io, um mit dem Docker-Daemon des Ziels zu interagieren.
Anschließend kopiert sich die Malware selbst in das Zielsystem und verankert das „nginx“-Binary über eine Bash-Alias-Datei dauerhaft im System. Auch bei einem Neustart der Shell läuft der Schadcode erneut. Auch Ubuntu-basierte Container können im Lauf direkt übernommen werden.
Ziel der Kampagne: Dero-Mining auf breiter Front
Im letzten Schritt kommt das Modul „cloud“ ins Spiel: Es startet einen Dero-Miner, basierend auf dem Open-Source-Projekt „DeroHE CLI miner“, das öffentlich über GitHub verfügbar ist. Einmal etabliert, arbeitet der kompromittierte Container vollständig autonom – ohne zentrale Steuerung, ohne C2-Infrastruktur. Jeder infizierte Host wird selbst zum Verbreiter.
Kaspersky sieht deutliche Parallelen zu früheren Angriffen. Bereits im März 2023 hatte CrowdStrike ähnliche Aktivitäten auf Kubernetes-Umgebungen beobachtet. Weitere Varianten tauchten laut Wiz im Juni 2024 auf.
Noch eine Bedrohung: Monero-Mining per PyBitmessage-Backdoor
Parallel zur Dero-Kampagne beobachtet das AhnLab Security Intelligence Center eine weitere Malware-Welle: Hier wird ein Monero-Miner zusammen mit einer bisher unbekannten Backdoor eingeschleust. Besonders bemerkenswert: Die Kommunikation erfolgt über das Peer-to-Peer-Protokoll PyBitmessage, das speziell für anonyme, dezentrale Nachrichtenübertragung konzipiert wurde.
„Das Bitmessage-Protokoll ist ein Nachrichtensystem, das speziell dafür entwickelt wurde, Anonymität und Dezentralität zu gewährleisten“, so ASEC. „Es schützt Nachrichten davor, von Dritten mitgelesen zu werden, und verschleiert die Identität von Absendern und Empfängern. Cyberkriminelle nutzten das PyBitmessage-Modul, das dieses Protokoll in der Python-Umgebung implementiert, um verschlüsselte Datenpakete auszutauschen – in einem Format, das gewöhnlichem Webverkehr ähnelt. Insbesondere C2-Befehle und Steuerinformationen werden dabei in Nachrichten echter Nutzer innerhalb des Bitmessage-Netzwerks versteckt.“
Container-Infrastrukturen im Visier
Die aktuellen Kampagnen führen deutlich vor Augen, wie schnell Container-Systeme zur Schwachstelle werden können – vor allem, wenn Schnittstellen ungeschützt offenstehen. Angreifer setzen auf Automatisierung, Tarnung und Geschwindigkeit – und nutzen jedes öffentlich erreichbare Docker-System als potenziellen Einstiegspunkt.
Was Unternehmen jetzt tun sollten:
- Docker-APIs niemals ungeschützt ins Internet stellen
- Zugriff mit TLS und Authentifizierung absichern
- Container regelmäßig auf ungewöhnliche Aktivitäten prüfen
- Netzwerkverkehr mit Fokus auf Port 2375 und Peer-to-Peer-Traffic überwachen
- Open-Source-Komponenten nur aus verifizierten Quellen einsetzen
Wo Infrastruktur wächst, wächst auch die Angriffsfläche. Und mit ihr die Chancen für Malware, sich unbemerkt einzunisten – und von Container zu Container zu springen.