Компания Palo Alto Networks предупредила, что в Docker Hub, официальном репозитории контейнеров Docker, были найдены шесть вредоносных образов, содержавших скрытые майнеры криптовалюты Monero.
Малварь распространялась от лица учтенной записи azurenql, активной с октября 2019 года. Образами, размещенными злоумышленником, в общей сложности воспользовались более 2 000 000 раз. Для сравнения исследователи пишут, что существуют официальные образы, связанные с Azure, опубликованные официальной учетной записью Microsoft Docker Hub, которые имеют от нескольких тысяч до 100 000 000 пуллов.
В настоящее время учетная запись azurenql уже деактивирована, но раньше преступнику принадлежали восемь репозиториев, содержащие шесть вредоносных образов.
С момента запуска этой кампании в октябре 2019 года на один из кошельков хакера поступило более 525,38 XMR (примерно 36 000 долларов США по текущему курсу).
Автор малвари использовал Python-скрипт для запуска криптоджекинга, а также, для сокрытия майнинговой активности и большей анонимности, он применял такие инструменты, как ProxyChains и Tor.
Исследователи предостерегают, что Docker, в сущности, представляет собой весьма удобный инструмент для злоумышленников. Так, хакер может легко распространить вредоносные образы на любой компьютер, и мгновенно начинать использовать чужие вычислительные ресурсы для добычи криптовалюты.
Также стоит отметить, что на этой неделе эксперты компании Trend Micro предупредили, что незащищенные и неправильно настроенные серверы Docker на постоянной основе атакуют как минимум два ботнета: XORDDoS и Kaiji. Ботнеты злоупотребляют серверами для сбора системной информации и проведения DDoS-атак.
Троян XORDDoS, также известный как XOR.DDoS, активен с 2014 года и ориентирован на Linux-системы. Малварь Kaiji, которую исследователи впервые заметили ранее в этом году, написана на Go и тоже представляет собой вредононса, ориентированного на Linux-системы и устройства IoT.
Обычно XORDDoS и Kaiji распространяются путем сканирования открытых портов SSH и Telnet и последующих брутфорс-атак, но, как выяснилось теперь, появились версии вредоносов, ориентированные на Docker. Так, хакеры ищут серверы Docker с открытым портом 2375, который используется для неаутентифицированных и незашифрованных соединений.
Основное различие между XORDDoS и Kaiji заключается в том, что первый заражает все существующие контейнеры на сервере, а второй разворачивает малварь лишь в своем собственном контейнере.