Cryptojacking mit infizierten Docker-Images

Die Sicherheitsexperten von Palo Alto Networks haben ein schädliches Docker Hub-Konto entdeckt, in dem sechs „infizierte“ Images gehostet wurden, um die Kryptowährung Monero zu generieren.

Docker Hub ist ein beliebtes Repository für Docker-Benutzer, um frei verfügbare Docker-Anwendungsimages zum Ausführen zu finden. Kriminelle verwenden das Tool, um schädliche Docker-Bilder in großem Maßstab für Cryptojacking zu hosten.

Im Einzelnen haben die Angreifer zwischen April und Mai 2020 36.000 US-Dollar gestohlen: Eine der von den Angreifern verwendeten Brieftaschen-IDs hat über 525,38 XMR verdient, was ungefähr 36.000 US-Dollar entspricht.

Die Hacker verwendeten zwei unterschiedliche Cryptojacking-Methoden bereitgestellt, um Monero zu generieren. Bei der ersten Methode senden sie die abgebauten Blöcke mithilfe einer Brieftaschen-ID direkt an den zentralen minexmr-Pool. Bei der zweiten Methode wurde ein Hosting-Service verwendet, um einen eigenen Mining-Pool zu betreiben, der dann zum Sammeln von Mining-Blöcken verwendet wurde.

Das Docker-Sicherheitsteam konnte die schädlichen Images und das Docker Hub-Konto entfernen, nachdem es von Palo Alto Networks benachrichtigt wurde.

Beim zweiten Vorfall stand eine neue Variante einer hybriden Cryptojacking-Malware, im Blickpunkt, bei der die Schwachstelle CVE-2019-9081 missbraucht wurde. Eine genaue Analyse zeigte, dass die Malware „Lucifer“ DDoS-Angriffe ausführen kann und mit allen Arten von Exploits gegen anfällige Windows-Hosts ausgestattet ist. Die erste Welle der Kampagne wurde am 10. Juni 2020 gestoppt. Der Angreifer setzte seine Kampagne am 11. Juni 2020 fort, verbreitete eine aktualisierte Version der Malware und richtete Chaos an.

Lucifer ist eine sehr effektive Malware. Sie ist nicht nur in der Lage, XMRig für das Cryptojacking von Monero zu löschen, sondern kann auch den Betrieb und die Selbstverbreitung (C2) steuern, indem mehrere Schwachstellen ausgenutzt und Brute-Forcing für Anmeldeinformationen durchgeführt wird. Darüber hinaus werden EternalBlue-, EternalRomance- und DoublePulsar-Backdoor für anfällige Ziele für Intranet-Infektionen gelöscht und ausgeführt.

Die Hacker selbst hatten ihre Malware „Satan“ getauft, aber Palo Alto entschied sich für den Namen „Lucifer“, um Verwechslungen mit der bereits existierenden Satan Ransomware zu vermeiden. Die Ausbeute der Angreifer fiel bisher eher bescheiden aus und belief sich auf etwa 32 US-Dollar. Zu den durch Lucifer verwundbaren Plattformen zählen Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework und Microsoft Windows.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

12 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago