Docker-Server im Visier der neuen Kinsing-Malware-Kampagne

In den letzten Monaten hat eine Malware-Operation das Internet nach Docker-Servern durchsucht, auf denen API-Ports laufen, die ohne Passwort im Internet offengelegt werden. Anschließend brechen Hacker in ungeschützte Hosts ein und installieren eine neue Krypto-Mining-Malware namens Kinsing.

Nach Angaben des Cloud-Sicherheitsunternehmens Aqua Security begannen die Angriffe letztes Jahr und dauern noch immer an erläuterte die Kampagne am Freitag in einem Blogbeitrag.

Diese Angriffe sind nur die letzten in einer langen Liste von Malware-Kampagnen, die auf Docker-Instanzen abzielten – Systeme, die, wenn sie kompromittiert werden, Hackergruppen uneingeschränkten Zugriff auf umfangreiche Rechenressourcen ermöglichen Ressourcen.

Laut Gal Singer, einem Sicherheitsforscher bei Aqua, sobald die Hacker eine Docker-Instanz mit einem offengelegten API-Port finden, Sie nutzen den über diesen Port bereitgestellten Zugriff, um einen Ubuntu-Container zu starten, in dem sie Kinsing herunterladen und installieren Schadsoftware.

Der Hauptzweck der Malware besteht darin, Kryptowährungen auf der gehackten Docker-Instanz zu schürfen, sie verfügt jedoch auch über sekundäre Funktionen. Dazu gehört das Ausführen von Skripten, die andere möglicherweise lokal ausgeführte Malware entfernen, aber auch das Erfassen von lokalem SSH Anmeldeinformationen in einem Versuch, sich auf das Containernetzwerk eines Unternehmens auszubreiten und andere Cloud-Systeme damit zu infizieren Schadsoftware.

Da Kinsing-Malware-Angriffe immer noch andauern, empfiehlt Aqua Unternehmen, die Sicherheitseinstellungen ihrer Docker-Instanzen zu überprüfen und sicherzustellen, dass keine administrativen APIs online offengelegt werden. Solche Admin-Endpunkte sollten sich entweder hinter einer Firewall oder einem VPN-Gateway befinden – wenn sie online verfügbar sein müssen – oder deaktiviert werden, wenn sie nicht verwendet werden.

Die jüngste Kinsing-Malware-Kampagne ist nur die jüngste in einer langen Liste von Angriffen von Krypto-Mining-Botnets, die auf Docker-Instanzen abzielten.

Derartige Angriffe begannen erstmals im Frühjahr 2018. Aqua Und Sysdig waren damals die ersten Unternehmen, die Angriffe auf Docker-Systeme erkannten.

Danach folgten weitere Angriffe und Malware. Berichte über andere Angriffe auf Docker-Server wurden detailliert beschrieben von Trend Micro (Oktober 2018), Juniper-Netzwerke (November 2018), Imperva (März 2019), Trend Micro Und Alibaba Cloud (Mai 2019), Trend Micro erneut (Juni 2019) und Palo Alto Networks (Oktober 2019).