Поделиться
Криптомайнер Dero массово заражает контейнеры через открытые API Docker
Эксперты Kaspersky Security Services обнаружили сложную кампанию, в рамках которой злоумышленники массово заражают контейнерные среды криптомайнером Dero. Чтобы получить доступ к таким средам, они используют открытые API Docker — программные интерфейсы для платформы с открытым исходным кодом Docker, предназначенной для контейнерной разработки. Помимо майнера, атакующие запускают сетевой червь, позволяющий продолжать цепочку заражений.
Потенциальные жертвы. Кибератака направлена на организации, которые используют контейнерную инфраструктуру, не обеспечивая при этом строгий контроль за интерфейсами с точки зрения безопасности. В числе потенциальных мишеней — технологические компании, разработчики ПО, хостинг-провайдеры, поставщики облачных сервисов.
Как происходит кибератака. Сначала злоумышленники ищут API Docker, опубликованные небезопасным способом. По данным поисковой системы Shodan, в 2025 г. в среднем по миру ежемесячно публиковалось 485 API Docker на стандартных портах, в том числе в России и странах СНГ. Далее атака развивается следующим методом: компрометируются уже существующие контейнеры и создаются новые на основе стандартного легитимного образа Ubuntu. После их заражают двумя вредоносными компонентами — nginx и cloud. Cloud — это и есть сам криптомайнер Dero, а nginx отвечает за обеспечение его работы, а также сканирует сеть для поиска других незащищённых сред. Злоумышленники, вероятно, назвали этот компонент nginx, чтобы замаскировать его под известный одноимённый легитимный веб-сервер и попытаться таким образом избежать обнаружения. Доставка зловреда в рамках этой кампании происходит без участия традиционного командного сервера: заражённые контейнеры могут сканировать сеть независимо друг от друга и продолжать распространять майнер.
«Такой метод может привести к огромному росту числа заражений. Каждый скомпрометированный контейнер — это потенциальный источник кибератак, если в сетях, которые могут стать мишенью, не будут заблаговременно приняты меры безопасности, — сказал Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского». — Контейнеры имеют важнейшее значение для разработки, развёртывания и масштабирования программного обеспечения. Они широко используются в нативных облачных средах, DevOps и микросервисной архитектуре, что делает их целью кибератак. Поскольку организации всё больше зависят от контейнеров, необходимо применять комплексный подход к безопасности: использовать надёжные защитные решения, осуществлять проактивный поиск угроз и на регулярной основе выявлять признаки компрометации информационных систем, привлекая для этого внешних экспертов».
Атакующие встроили названия файлов (nginx и cloud) непосредственно в исполняемый файл. Это классический метод маскировки, который позволяет выдавать вредоносные инструменты за легитимные, чтобы их не могли обнаружить ИБ-специалисты и автоматизированные системы защиты.
Подробный технический анализ кампании доступен на сайте Securelist. Решения «Лаборатории Касперского» детектируют вредоносные импланты следующими вердиктами: Trojan.Linux.Agent.gen и RiskTool.Linux.Miner.gen.
Чтобы снизить риски, связанные с атаками на контейнеры, «Лаборатория Касперского» рекомендует: компаниям, использующим API Docker, оперативно проверить на безопасность все потенциально уязвимые инфраструктуры и воздержаться от публикации API Docker, если в этом нет серьёзной необходимости. Также можно защитить опубликованные API Docker с помощью протокола TLS; использовать услугу для обнаружения активных и ранее неизвестных атак, такую как Kaspersky Compromise Assessment; применять специализированные решения для защиты контейнерных сред, например, Kaspersky Container Security. Оно обеспечивает безопасность на всех этапах создания контейнерных приложений. Помимо процесса разработки, решение обеспечивает защиту в рантайме, контролирует запуск доверенных контейнеров, работу приложений и сервисов внутри контейнеров, а также отслеживает трафик; внедрять сервисы управляемой безопасности, такие как Compromise Assessment, Managed Detection and Response и Incident Response от «Лаборатории Касперского», охватывающие весь цикл управления инцидентами — от выявления угроз до восстановления после инцидента. Они позволяют защититься от кибератак, исследовать инциденты, а также получить доступ к дополнительным знаниям: это особенно актуально, если в компании не хватает собственных ИБ-специалистов.
Поделиться
Короткая ссылка
