Die Sicherheitsexperten von Palo Alto Networks haben ein schädliches Docker Hub-Konto entdeckt, in dem sechs „infizierte“ Images gehostet wurden, um die Kryptowährung Monero zu generieren.
Docker Hub ist ein beliebtes Repository für Docker-Benutzer, um frei verfügbare Docker-Anwendungsimages zum Ausführen zu finden. Kriminelle verwenden das Tool, um schädliche Docker-Bilder in großem Maßstab für Cryptojacking zu hosten.
Im Einzelnen haben die Angreifer zwischen April und Mai 2020 36.000 US-Dollar gestohlen: Eine der von den Angreifern verwendeten Brieftaschen-IDs hat über 525,38 XMR verdient, was ungefähr 36.000 US-Dollar entspricht.
Die Hacker verwendeten zwei unterschiedliche Cryptojacking-Methoden bereitgestellt, um Monero zu generieren. Bei der ersten Methode senden sie die abgebauten Blöcke mithilfe einer Brieftaschen-ID direkt an den zentralen minexmr-Pool. Bei der zweiten Methode wurde ein Hosting-Service verwendet, um einen eigenen Mining-Pool zu betreiben, der dann zum Sammeln von Mining-Blöcken verwendet wurde.
Das Docker-Sicherheitsteam konnte die schädlichen Images und das Docker Hub-Konto entfernen, nachdem es von Palo Alto Networks benachrichtigt wurde.
Beim zweiten Vorfall stand eine neue Variante einer hybriden Cryptojacking-Malware, im Blickpunkt, bei der die Schwachstelle CVE-2019-9081 missbraucht wurde. Eine genaue Analyse zeigte, dass die Malware „Lucifer“ DDoS-Angriffe ausführen kann und mit allen Arten von Exploits gegen anfällige Windows-Hosts ausgestattet ist. Die erste Welle der Kampagne wurde am 10. Juni 2020 gestoppt. Der Angreifer setzte seine Kampagne am 11. Juni 2020 fort, verbreitete eine aktualisierte Version der Malware und richtete Chaos an.
Lucifer ist eine sehr effektive Malware. Sie ist nicht nur in der Lage, XMRig für das Cryptojacking von Monero zu löschen, sondern kann auch den Betrieb und die Selbstverbreitung (C2) steuern, indem mehrere Schwachstellen ausgenutzt und Brute-Forcing für Anmeldeinformationen durchgeführt wird. Darüber hinaus werden EternalBlue-, EternalRomance- und DoublePulsar-Backdoor für anfällige Ziele für Intranet-Infektionen gelöscht und ausgeführt.
Die Hacker selbst hatten ihre Malware „Satan“ getauft, aber Palo Alto entschied sich für den Namen „Lucifer“, um Verwechslungen mit der bereits existierenden Satan Ransomware zu vermeiden. Die Ausbeute der Angreifer fiel bisher eher bescheiden aus und belief sich auf etwa 32 US-Dollar. Zu den durch Lucifer verwundbaren Plattformen zählen Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework und Microsoft Windows.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…