Cryptojacking mit infizierten Docker-Images

Die Sicherheitsexperten von Palo Alto Networks haben ein schädliches Docker Hub-Konto entdeckt, in dem sechs „infizierte“ Images gehostet wurden, um die Kryptowährung Monero zu generieren.

Docker Hub ist ein beliebtes Repository für Docker-Benutzer, um frei verfügbare Docker-Anwendungsimages zum Ausführen zu finden. Kriminelle verwenden das Tool, um schädliche Docker-Bilder in großem Maßstab für Cryptojacking zu hosten.

Im Einzelnen haben die Angreifer zwischen April und Mai 2020 36.000 US-Dollar gestohlen: Eine der von den Angreifern verwendeten Brieftaschen-IDs hat über 525,38 XMR verdient, was ungefähr 36.000 US-Dollar entspricht.

Die Hacker verwendeten zwei unterschiedliche Cryptojacking-Methoden bereitgestellt, um Monero zu generieren. Bei der ersten Methode senden sie die abgebauten Blöcke mithilfe einer Brieftaschen-ID direkt an den zentralen minexmr-Pool. Bei der zweiten Methode wurde ein Hosting-Service verwendet, um einen eigenen Mining-Pool zu betreiben, der dann zum Sammeln von Mining-Blöcken verwendet wurde.

Das Docker-Sicherheitsteam konnte die schädlichen Images und das Docker Hub-Konto entfernen, nachdem es von Palo Alto Networks benachrichtigt wurde.

Beim zweiten Vorfall stand eine neue Variante einer hybriden Cryptojacking-Malware, im Blickpunkt, bei der die Schwachstelle CVE-2019-9081 missbraucht wurde. Eine genaue Analyse zeigte, dass die Malware „Lucifer“ DDoS-Angriffe ausführen kann und mit allen Arten von Exploits gegen anfällige Windows-Hosts ausgestattet ist. Die erste Welle der Kampagne wurde am 10. Juni 2020 gestoppt. Der Angreifer setzte seine Kampagne am 11. Juni 2020 fort, verbreitete eine aktualisierte Version der Malware und richtete Chaos an.

Lucifer ist eine sehr effektive Malware. Sie ist nicht nur in der Lage, XMRig für das Cryptojacking von Monero zu löschen, sondern kann auch den Betrieb und die Selbstverbreitung (C2) steuern, indem mehrere Schwachstellen ausgenutzt und Brute-Forcing für Anmeldeinformationen durchgeführt wird. Darüber hinaus werden EternalBlue-, EternalRomance- und DoublePulsar-Backdoor für anfällige Ziele für Intranet-Infektionen gelöscht und ausgeführt.

Die Hacker selbst hatten ihre Malware „Satan“ getauft, aber Palo Alto entschied sich für den Namen „Lucifer“, um Verwechslungen mit der bereits existierenden Satan Ransomware zu vermeiden. Die Ausbeute der Angreifer fiel bisher eher bescheiden aus und belief sich auf etwa 32 US-Dollar. Zu den durch Lucifer verwundbaren Plattformen zählen Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework und Microsoft Windows.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago