Hacker greifen Docker-Server mit Kinsing-Malware an

Hacker greifen Docker-Server mit Kinsing-Malware zum Abbau digitaler Währung an

Hacker haben es mit einer neuen Malware zum Mining digitaler Währungen auf Docker-Server abgesehen, wie ein neuer Bericht enthüllt hat. Die Kriminellen scannen das Internet nach Docker-Servern mit API-Ports ohne Passwort, infizieren sie mit der Malware und verminen laut Bitcoin Evolution digitale Währungen, die dabei zustande kommen. Die Malware kann auch Zugangsdaten stehlen, so dass sich die Kriminellen auf andere Server im Netzwerk verbreiten können.

Bitcoin Evolution digitale Währungen

Diese Kampagne läuft seit letztem Jahr, so Forscher der Cybersicherheitsfirma Aqua Security in ihrem Bericht. Sie ist auf Beharrlichkeit angewiesen, da täglich Tausende von Versuchen stattfinden. Dies sind mit die meisten Versuche, die die Forscher gesehen haben, was sie zu der Annahme veranlasst, dass die Gruppe, die hinter den Angriffen steht, über ausreichende Ressourcen und Infrastruktur verfügt.

Sobald die Hacker einen exponierten oder falsch konfigurierten Docker-API-Port entdecken, drehen sie einen Ubuntu-Container auf. Diesen verwenden sie, um ein Shell-Skript herunterzuladen, das wiederum die Malware herunterlädt und installiert. Diese Malware wird als Kinsing bezeichnet und ist ein auf Golang basierender Linux-Agent, so der Bericht im Detail. Bevor die Malware mit dem Abbau digitaler Währungen beginnt, versuchte sie, mit Servern in Osteuropa zu kommunizieren, was die Forscher zu der Erkenntnis führte, dass es „für jede Funktion, die die Malware ausführt, eigene Server gibt“.

Der Hauptzweck von Kinsing besteht darin, digitale Währungen abzubauen

Um seine Effizienz zu steigern, ist es jedoch mit weiteren Funktionen ausgestattet. Dazu gehören das Deaktivieren von Sicherheitsmaßnahmen und das Löschen von Protokollen, das Töten der meisten Anwendungen und insbesondere anderer Malware und der Minenarbeiter für digitale Währungen sowie das Töten anderer laufender bösartiger Docker-Container.

Die Forscher forderten die Sicherheitsteams nachdrücklich auf, ihr Spiel zu erhöhen, da die Angreifer unerbittlich sind. Sie stellten fest: „Da die Einsätze immer größer werden und der Einsatz von Containern zunimmt, erhöhen die Angreifer ihren Einsatz und führen immer ehrgeizigere Angriffe durch, die immer raffinierter werden.

Zu den Schritten, die Sicherheitsteams unternehmen können, gehören die Überprüfung von Autorisierungsrichtlinien, das Scannen aller verwendeten Bilder und die Vermeidung erweiterter Privilegien, die Untersuchung von Protokollen auf Anomalien und die Erwägung, Cloud-Sicherheitstools für ihre Cloud-Ressourcen einzusetzen.

Cyberkriminelle haben weiterhin Docker-Systeme ins Visier genommen, angelockt durch die enormen Rechenressourcen, die ihnen bei einem erfolgreichen Eindringen in diese Systeme zur Verfügung stehen. Im Oktober 2019 wurde ein Wurm gefunden, der auf Docker bösartige Bilder zur Verbreitung von digitalen Währungen verwendet. Der als Graboid bekannte Wurm war der erste seiner Art und verminte Monero.

Nur einen Monat später entdeckte Bad Packets LLC, eine amerikanische Cybersicherheitsfirma, eine neue Malware für digitales Currency Mining, die erneut auf Docker-Systeme abzielt. Genau wie beim Kinsing hatten die Angreifer Docker-Server im Visier, deren API-Endpunkte online offengelegt wurden. Sie haben auch Monero abgebaut, eine Dunkle Münze, die sich bei Kriminellen als beliebt erwiesen hat.