Zwei Malware-Typen

Getarnte Krypto-Miner kapern Docker-Container

Krypto-Miner, docker krypto miner, docker schwachstellen, docker sicherheitslücken, container malware, Docker, Malware
Bildquelle: tomeqs / Shutterstock.com
LinkedInRedditWhatsAppPocket

Eine neue, raffiniert angelegte Cyberkampagne nutzt Schwachstellen in öffentlich erreichbaren Docker-APIs aus. Ziel ist es, Container-Umgebungen mit Krypto-Mining-Malware zu infizieren – und das mit hohem Automatisierungsgrad.

Hacker setzen auf Docker-Schwachstellen

IT-Sicherheitsexperten haben eine gezielte Angriffswelle entdeckt, die sich auf containerisierte Systeme konzentriert. Die Angreifer nutzen dabei unsicher konfigurierte Docker-APIs, um entweder bestehende Container zu übernehmen oder eigene schädliche Instanzen zu starten – basierend auf einem scheinbar harmlosen Ubuntu-Image.

Anzeige

Zwei Malware-Typen im Einsatz

Nach der erfolgreichen Kompromittierung injizieren die Angreifer zwei Arten von Schadsoftware in die Container:

  • „cloud“: Ein verdeckt operierender Krypto-Miner, der auf die Kryptowährung Dero abzielt.
  • „nginx“: Eine Malware zur Absicherung der Persistenz. Sie hält den Miner am Laufen, sucht nach neuen Schwachstellen und sorgt dafür, dass sich die Infektion weiterverbreiten kann.

Bemerkenswert: Die Angreifer benötigen keine zentralen Command-and-Control-Server. Stattdessen agiert jeder infizierte Container autonom, indem er aktiv das Internet nach neuen Zielsystemen durchsucht – ein Baukasten für exponentielle Verbreitung.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Tarnung durch bekannte Namen

Die eingesetzten Tools tarnen sich bewusst mit vertraut klingenden Bezeichnungen wie „nginx“ oder „cloud“. Diese Taktik soll Analysten und automatisierte Abwehrsysteme in die Irre führen. Beide Begriffe sind direkt in den Binärdateien eingebettet und erschweren so eine schnelle Erkennung.

Anzeige

Containerisierung als Risiko

Die Kampagne wurde im Rahmen eines umfassenden Sicherheitsprojekts entdeckt. Besonders gefährdet sind Unternehmen, die Container-Technologien nutzen, ohne ihre Docker-Schnittstellen adäquat abzusichern. Betroffen sind unter anderem Anbieter von Cloud-Diensten, Hosting-Plattformen, Entwicklerfirmen und Technologieunternehmen.

Ein Blick auf die Zahlen zeigt die globale Dimension: Laut dem Dienst Shodan werden im Jahr 2025 monatlich im Schnitt 485 Docker-API-Zugänge weltweit öffentlich gemacht. Die meisten davon in China (138), Deutschland (97) und den USA (58).

Experte warnt vor Dominoeffekt

Amged Wageh, Experte für Incident Response und Kompromittierungsbewertung bei Kaspersky Security Services, erklärt dazu:

„Die Kampagne hat das Potenzial für ein exponentielles Wachstum der Infektionen. Jeder kompromittierte Container fungiert als neue Angriffsquelle, sofern in den potenziell betroffenen Netzwerken nicht umgehend Sicherheitsmaßnahmen ergriffen werden. Container sind grundlegend für Softwareentwicklung, -bereitstellung und -skalierbarkeit. Ihre weit verbreitete Verwendung in Cloud-nativen Umgebungen, DevOps und Microservices-Architekturen macht sie zu einem attraktiven Ziel für Cyberkriminelle. Diese wachsende Abhängigkeit erfordert von Unternehmen einen umfassenden Sicherheitsansatz – eine Kombination aus robusten Sicherheitslösungen, proaktiver Bedrohungssuche und regelmäßigen Kompromittierungsbewertungen.“

Sein Appell: Container seien heute das Rückgrat moderner Softwareentwicklung und müssten mit ebenso viel Aufmerksamkeit wie andere geschäftskritische Systeme geschützt werden.

Schutzmaßnahmen für Container-Umgebungen

Um containerisierte Infrastrukturen wirksam vor Angriffen wie dieser zu schützen, sollten Unternehmen auf eine Kombination technischer und organisatorischer Maßnahmen setzen:

  • Zugänge absichern: Docker-APIs sollten niemals unbeabsichtigt öffentlich zugänglich sein. Eine Veröffentlichung sollte nur bei klarem betrieblichem Bedarf erfolgen – in diesem Fall stets über gesicherte Verbindungen (z. B. TLS) und mit Authentifizierung.
  • Regelmäßige Überprüfung: Systeme sollten regelmäßig auf unautorisierte Veränderungen, verdächtige Prozesse und neu gestartete Container überprüft werden.
  • Netzwerksegmentierung: Containerumgebungen sollten von anderen Netzbereichen getrennt sein, um die seitliche Ausbreitung im Fall eines Angriffs zu begrenzen.
  • Monitoring und Logging: Eine kontinuierliche Überwachung und Protokollierung aller Aktivitäten in Container-Umgebungen ist essenziell, um verdächtiges Verhalten frühzeitig zu erkennen.
  • Security-by-Design in der DevOps-Pipeline: Sicherheitsaspekte sollten bereits in der Entwicklung berücksichtigt werden, z. B. durch Scannen von Images auf Schwachstellen und die Nutzung minimaler, geprüfter Basis-Images.
  • Sensibilisierung des Teams: Entwickler und Administratoren sollten regelmäßig zu Container-Sicherheit, neuen Angriffsmethoden und Best Practices geschult werden.

Ein proaktiver und ganzheitlicher Sicherheitsansatz hilft, Angreifern zuvorzukommen – besonders in dynamischen Cloud- und Container-Umgebungen.

Weitere Informationen finden Sie im englischsprachigen Beitrag “Dero miner zombies biting through Docker APIs to build a cryptojacking horde”.

(vp/Kaspersky)


Anzeige

Weitere Artikel

Neue Angriffstaktiken: Die trügerische Sicherheit von MFA
APT-Gruppen nehmen kritische Infrastrukturen ins Visier
Schädliche PyPI-Pakete missbrauchen Instagram- und TikTok-APIs
Wie Scattered Spider den britischen Einzelhandel infiltrierte
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.