Share
Beitragsbild zu Off Your Docker: Neue Malware zielt auf offene APIs

Off Your Docker: Neue Malware zielt auf offene APIs

9. September 2025

Das Akamai Hunt Team hat eine neue Malware-Variante entdeckt, die gezielt offene Docker-APIs angreift und über erweiterte Infektionsfunktionen verfügt. Zuletzt wurde sie im August 2025 in der Honeypot-Infrastruktur von Akamai registriert.

Ursprünglich wurde die Malware bereits im Juni 2025 vom Threat-Intelligence-Team von Trend Micro identifiziert. Die damals gefundene Version platzierte einen Cryptominer hinter einer Tor-Domain. Die aktuelle Variante, die Akamai beobachtete, nutzt einen anderen Zugriffsvektor: Sie blockiert den Zugriff Dritter auf die Docker-API aus dem Internet.

Auch die Binärdatei unterscheidet sich von der ursprünglichen Version. Statt eines Cryptominers enthält sie Dateien mit zuvor genutzten Tools und zusätzlichen Infektionsfunktionen.

In einem Blogbeitrag beschreibt Akamai alle technischen Details, Unterschiede zwischen den Varianten und die Indikatoren für Kompromittierung (IOCs), die für die Abwehr der Bedrohung relevant sind.

Am 8. September warnten die Sicherheitsforscher vor einer neuen Kampagne, bei der Hacker ebenfalls den externen Zugriff auf exponierte Docker-APIs blockieren. Akamai erklärt: „Diese neue Variante verwendet ähnliche Tools wie das Original, verfolgt aber möglicherweise andere Ziele, darunter die Grundlage für ein komplexes Botnetz.“

Laut Akamai fügen die Angreifer einen Cron-Job in die crontab-Datei ein, der jede Minute den Zugriff auf Port 2375 der Docker-API blockiert. Die crontab-Datei liegt auf dem Host, da sie beim Erstellen des Containers gemountet wurde. Ziel ist es, den Zugriff für andere Angreifer zu verhindern und die Kontrolle über die exponierte Instanz zu sichern.

Zudem setzen die Angreifer Tools ein, um Massenscans nach offenen 2375-Ports durchzuführen. Diese sollen die Verbreitung von Malware durch die Erstellung neuer Container über exponierte APIs erleichtern. Der Code prüft auch, ob bereits andere bösartige Container mit Cryptominern existieren.

Die Analyse der Malware-Dateien deutet darauf hin, dass die Angreifer bei der Entwicklung ihrer Tools KI eingesetzt haben. Die Skripte suchen zudem nach weiteren offenen Ports wie 23 (Telnet) und 9222 (Remote-Debugging für Chromium). Obwohl diese Ports bisher nicht aktiv genutzt wurden, könnte dies künftigen Malware-Versionen ermöglichen, sensible Daten zu stehlen, auf geschützte Informationen zuzugreifen, DDoS-Angriffe zu starten oder Remote-Dateien bereitzustellen. Akamai vermutet, dass es sich bei dieser Variante um eine erste Version eines komplexen Botnetzes handelt.

Erkennung der Bedrohung

Mögliche Indikatoren für eine Infektion:

  • Neu bereitgestellte Container, die unmittelbar eine Installationsanwendung (apt, yum) und einen Downloader (curl, wget) ausführen.

  • Neue Verbindungen aus dem Internet zu Ports 2375, 9222 oder 23.

  • Auffällige Base64-kodierte Befehle und deren dekodierte Inhalte.

  • Anomalien bei Downloader-Anwendungen, die auf verdächtige Domänen zugreifen.

  • Hauptdienste, die plötzlich nicht mehr erreichbar sind.

  • Container mit gemountetem Host-Dateisystem (z. B. /, /var/run/docker.sock, /etc).

Prävention und Schadensbegrenzung

Vier Maßnahmen können die Sicherheit erhöhen:

  1. Netzwerksegmentierung: Docker-Umgebungen vom restlichen Netzwerk isolieren.

  2. Exposition minimieren: Dienste nicht unnötig dem Internet zugänglich machen.

  3. Chrome-Debugger-Port (9222): Zugriff nur über bestimmte Remote-IP-Adressen erlauben.

  4. Passwortrotation: Standardanmeldedaten bei neuen Geräten durch starke Passwörter ersetzen.

Technik im Fokus: Beelzebub-Honeypot

Für die Analyse wurde das Open-Source-Honeypot-Framework Beelzebub genutzt. Damit lassen sich hochinteraktive Dienste durch einfache YAML-Dateien simulieren. Ein LLM kann dynamische Antworten erzeugen, sodass Angreifer glauben, mit einer echten API zu interagieren.

Bei Anfragen an den Docker-API-Endpunkt /_ping antwortet der Honeypot wie ein echter Docker 24.0.7-Server unter Linux. Die vollständige Docker-API-YAML-Datei ist auf GitHub verfügbar.

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Fachartikel

Featured image for “OpenClaw-Skills als neuer Malware-Verteilweg: Erkenntnisse von VirusTotal”

OpenClaw-Skills als neuer Malware-Verteilweg: Erkenntnisse von VirusTotal

Featured image for “ShinyHunters: Voice-Phishing-Kampagne zielt auf Cloud-Plattformen ab”

ShinyHunters: Voice-Phishing-Kampagne zielt auf Cloud-Plattformen ab

Featured image for “ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl”

ShinyHunters-Angriffe: Mandiant zeigt wirksame Schutzmaßnahmen gegen SaaS-Datendiebstahl

Featured image for “Phishing-Angriff: Cyberkriminelle missbrauchen Microsoft-Infrastruktur für Betrugsmaschen”

Phishing-Angriff: Cyberkriminelle missbrauchen Microsoft-Infrastruktur für Betrugsmaschen

Featured image for “Wie Angreifer proprietäre KI-Modelle über normale API-Zugriffe stehlen können”

Wie Angreifer proprietäre KI-Modelle über normale API-Zugriffe stehlen können

Studien

Featured image for “Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland”

Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland

Featured image for “IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit”

IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit

Featured image for “Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen”

Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen

Featured image for “Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten”

Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten

Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”

Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum

Whitepaper

Featured image for “DigiCert veröffentlicht RADAR-Bericht für Q4 2025”

DigiCert veröffentlicht RADAR-Bericht für Q4 2025

Featured image for “Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025”

Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025

Featured image for “Künstliche Intelligenz bedroht demokratische Grundpfeiler”

Künstliche Intelligenz bedroht demokratische Grundpfeiler

Featured image for “Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet”

Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet

Featured image for “ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI”

ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI

Hamsterrad-Rebell

Featured image for “NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg”

NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg

Featured image for “Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen”

Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen

Featured image for “Identity Security Posture Management (ISPM): Rettung oder Hype?”

Identity Security Posture Management (ISPM): Rettung oder Hype?

Featured image for “Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern”

Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern

Featured image for “Daten in eigener Hand: Europas Souveränität im Fokus”

Daten in eigener Hand: Europas Souveränität im Fokus