Die digitale Welt steht erneut vor einer ernsthaften Bedrohung: Eine neue, selbstverbreitende Malware nutzt Schwachstellen in Docker-Containern aus, um sie unbemerkt zu kapern und für das Mining der Kryptowährung Dero einzusetzen. Docker gilt in der Softwareentwicklung und im Cloud-Betrieb als eine der zentralen Technologien zur Containerisierung. Doch genau dieses mehr und mehr genutzte System ist durch Fehlkonfigurationen im API-Zugang angreifbar geworden. Diese Sicherheitslücke macht es Cyberkriminellen möglich, in Container-Umgebungen einzudringen, dabei Ressourcen zu kapern und ihre Aktivitäten selbstständig auf andere Container auszudehnen. Die neue Kampagne zeichnet sich durch ihren hochgradig automatisierten Anteil aus, der Malware-Payloads nicht nur ausführt, sondern diese auch mittels Netzwerk-Scans eigenständig weiterverbreitet und Container auf entfernten Hosts infiziert.
Kaspersky, einer der führenden Anbieter für IT-Sicherheitslösungen, hat den Angriff detailliert analysiert und darauf hingewiesen, wie die Schadsoftware über offen zugängliche und falsch konfigurierte Docker-APIs initialen Zugang erlangt. Docker-APIs sind Schnittstellen, die eigentlich zur Verwaltung und Steuerung von Containern dienen. In vielen Fällen sind diese APIs jedoch unzureichend abgesichert und öffentlich zugänglich, was ein erhebliches Risiko darstellt. Cyberkriminelle fahren damit eine bewährte Strategie: Sie verwenden eine als „nginx“ getarnte Malware mit Wurm-Funktionalität, die sich im Netzwerk ausbreitet und neue verwundbare Docker-Instanzen identifiziert. Dabei maskiert sich die Schadsoftware geschickt unter dem Namen des populären Webservers nginx, um ihre Aktivitäten zu verschleiern und unerkannt zu bleiben.
Die Malware beginnt das Auskundschaften, indem sie zufällig generierte IPv4-Netzwerke abscannt und gezielt nach Hosts sucht, auf denen der Standard-Docker-API-Port 2375 aktiv ist. Läuft auf dem Zielsystem ein Docker-Daemon und reagiert dieser wie erwartet, erfolgt die Erzeugung eines neuen Container-Namens mit willkürlichen zwölf Zeichen. Anschließend wird auf der neuen Docker-Instanz eine speziell präparierte Schadsoftware installiert. Damit wird nicht nur der infizierte Rechner selbst für Mining genutzt, sondern durch die Installation von Tools wie masscan und docker.io gelingt es der Malware, ihre Reichweite zu vergrößern und weitere Systeme anzugreifen.
Die Persistenz stellt die Schadsoftware durch hinterlegte Befehle sicher, die automatisch bei jeder Anmeldung starten und den Mining-Prozess laufen lassen. Das Mining basiert auf der Nutzung des Dero-Clients, einer Open-Source-Software, mit der Kryptowährungen erzeugt werden. Dero ist eine vergleichsweise junge und weniger bekannte Kryptowährung, die jedoch durch die Motivation von Kriminellen als profitabler Mining-Endpoint in den Fokus geraten ist. Die Kampagne zeigt Parallelen zu früheren Angriffen, die sowohl Kubernetes-Cluster als auch Container-Infrastrukturen ins Visier genommen hatten. Untersuchungen von Sicherheitsexperten bei CrowdStrike und Wiz bestätigen, dass über einen längeren Zeitraum hinweg verschiedene Versionen dieser Dero-Mining-Malware aktiv wurden und sich weiterentwickelten.
Besonders gefährlich ist, dass die Infrastruktur ohne einen zentralen Command-and-Control-Server (C2) funktioniert. Die Kommunikation und Koordination der Malware erfolgt dezentral, was eine Erkennung und Abschaltung erheblich erschwert. Ein weiterer Grund zur Sorge ist die Art der Verbreitung: Das Malware-Payload tarnt sich durch den Einsatz von bekannten Softwarekomponenten und nutzt Standardprozesse innerhalb von Ubuntu-Containern, um sich zu installieren. Anwender und Administratoren erhalten dadurch kaum Warnsignale, was die Bekämpfung im Nachhinein komplex gestaltet. Die Auswirkungen eines solchen Angriffs sind erheblich.
Neben der offensichtlichen Ressourcenbindung durch das Mining entstehen durch die massiven Scan-Prozesse und Container-Erzeugungen zusätzliche Lasten auf Netzwerken und Host-Systemen. Unternehmen, die auf containerisierte Umgebungen setzen, riskieren dadurch nicht nur finanzielle Schäden durch erhöhte Infrastrukturkosten, sondern auch potenzielle Ausfallzeiten und Datenverlust. Die gesammelten Daten von Kaspersky weisen darauf hin, dass insbesondere der Bereich der Cloud-Sicherheit weiter an Bedeutung gewinnt. Fehlkonfigurationen gehören nach wie vor zu den Hauptursachen für erfolgreiche Cyberangriffe und sollten daher in den Fokus jedes IT-Teams rücken. Neben der Dero-Mining-Malware tauchte zeitgleich eine andere Angriffswelle auf, die die Monero-Kryptowährung ins Visier nahm und eine Backdoor einsetzte, welche über das PyBitmessage-Protokoll kommuniziert.
Dieses Peer-to-Peer-Protokoll wurde ursprünglich für anonyme Nachrichtenübermittlung entwickelt. Seine Nutzung für Schadsoftware demonstriert, wie flexibel und innovativ Angreifer heute vorgehen, um Warnungen von Sicherheitssystemen zu umgehen. Empfohlen wird dringend, Docker-APIs nicht öffentlich zugänglich zu machen und die Zugriffssteuerung konsequent zu konfigurieren. Die Anwendung von TLS-Verschlüsselung und Authentifizierung sind dabei unverzichtbar. Regelmäßige Audits, Netzwerkbegrenzungen und die Verwendung von Firewalls erhöhen den Schutz zusätzlich.
Container-Umgebungen selbst sollten stets mit aktuellsten Sicherheitspatches betrieben werden. Darüber hinaus sollten Unternehmen ihre Mitarbeiter sensibilisieren, keine nicht verifizierten Softwarequellen zu nutzen, da die Malware vermutlich häufig als vermeintlich harmlose „cracked“ oder gecrackte Versionen vertrieben wird. Sicherheitsforscher empfehlen ein mehrschichtiges Sicherheitskonzept inklusive automatisierter Erkennung von Anomalien und Verhaltensanalysen sowie die Implementierung von Monitoring-Systemen, die ungewöhnliche Aktivitäten in Container-Logs zeitnah melden. Die Entwicklung zeigt erneut, dass Cyberkriminelle im Bereich Cloud und Containertechnik zunehmend aktiv sind und sich dabei innovativer Taktiken bedienen. Die Kombination aus Selbstverbreitung, Tarnung und Ressourcenausnutzung stellt eine wachsende Herausforderung dar, der sich Unternehmen schnellstmöglich anpassen müssen.
Nur durch eine ganzheitliche Sicherheitsstrategie und das Bewusstsein für potenzielle Schwachstellen kann das Risiko einer Kompromittierung minimiert werden. Neben den technischen Maßnahmen darf auch die rechtzeitige Reaktion bei einem Angriff nicht unterschätzt werden. Ein gut vorbereiteter Notfallplan inklusive Backups und Wiederherstellungsverfahren ist essenziell, um die Folgen einer Infektion möglichst gering zu halten. Die neue Malware zeigt in aller Deutlichkeit: Containerisierung bietet viele Vorteile, verlangt jedoch auch ein konsequentes Sicherheitsmanagement. Cloud-Provider, Entwickler und IT-Administratoren müssen ihre Verantwortung erkennen und technische, organisatorische sowie menschliche Schutzmaßnahmen laufend überprüfen und anpassen, um Cyberbedrohungen effektiv zu begegnen.
Die Kombination aus aktuell genutzten Technologien und neuen Angriffsmethoden wird die Sicherheitslandschaft weiterhin verändern und erfordert eine flexible, professionelle Herangehensweise.
