Off Your Docker: Neue Malware zielt auf offene APIs

Das Akamai Hunt Team hat eine neue Malware-Variante entdeckt, die gezielt offene Docker-APIs angreift und über erweiterte Infektionsfunktionen verfügt. Zuletzt wurde sie im August 2025 in der Honeypot-Infrastruktur von Akamai registriert.

Ursprünglich wurde die Malware bereits im Juni 2025 vom Threat-Intelligence-Team von Trend Micro identifiziert. Die damals gefundene Version platzierte einen Cryptominer hinter einer Tor-Domain. Die aktuelle Variante, die Akamai beobachtete, nutzt einen anderen Zugriffsvektor: Sie blockiert den Zugriff Dritter auf die Docker-API aus dem Internet.

Auch die Binärdatei unterscheidet sich von der ursprünglichen Version. Statt eines Cryptominers enthält sie Dateien mit zuvor genutzten Tools und zusätzlichen Infektionsfunktionen.

In einem Blogbeitrag beschreibt Akamai alle technischen Details, Unterschiede zwischen den Varianten und die Indikatoren für Kompromittierung (IOCs), die für die Abwehr der Bedrohung relevant sind.

Am 8. September warnten die Sicherheitsforscher vor einer neuen Kampagne, bei der Hacker ebenfalls den externen Zugriff auf exponierte Docker-APIs blockieren. Akamai erklärt: „Diese neue Variante verwendet ähnliche Tools wie das Original, verfolgt aber möglicherweise andere Ziele, darunter die Grundlage für ein komplexes Botnetz.“

Laut Akamai fügen die Angreifer einen Cron-Job in die crontab-Datei ein, der jede Minute den Zugriff auf Port 2375 der Docker-API blockiert. Die crontab-Datei liegt auf dem Host, da sie beim Erstellen des Containers gemountet wurde. Ziel ist es, den Zugriff für andere Angreifer zu verhindern und die Kontrolle über die exponierte Instanz zu sichern.

Zudem setzen die Angreifer Tools ein, um Massenscans nach offenen 2375-Ports durchzuführen. Diese sollen die Verbreitung von Malware durch die Erstellung neuer Container über exponierte APIs erleichtern. Der Code prüft auch, ob bereits andere bösartige Container mit Cryptominern existieren.

Die Analyse der Malware-Dateien deutet darauf hin, dass die Angreifer bei der Entwicklung ihrer Tools KI eingesetzt haben. Die Skripte suchen zudem nach weiteren offenen Ports wie 23 (Telnet) und 9222 (Remote-Debugging für Chromium). Obwohl diese Ports bisher nicht aktiv genutzt wurden, könnte dies künftigen Malware-Versionen ermöglichen, sensible Daten zu stehlen, auf geschützte Informationen zuzugreifen, DDoS-Angriffe zu starten oder Remote-Dateien bereitzustellen. Akamai vermutet, dass es sich bei dieser Variante um eine erste Version eines komplexen Botnetzes handelt.

Erkennung der Bedrohung

Mögliche Indikatoren für eine Infektion:

• Neu bereitgestellte Container, die unmittelbar eine Installationsanwendung (apt, yum) und einen Downloader (curl, wget) ausführen.

• Neue Verbindungen aus dem Internet zu Ports 2375, 9222 oder 23.

• Auffällige Base64-kodierte Befehle und deren dekodierte Inhalte.

• Anomalien bei Downloader-Anwendungen, die auf verdächtige Domänen zugreifen.

• Hauptdienste, die plötzlich nicht mehr erreichbar sind.

• Container mit gemountetem Host-Dateisystem (z. B. /, /var/run/docker.sock, /etc).

Prävention und Schadensbegrenzung

Vier Maßnahmen können die Sicherheit erhöhen:

1. Netzwerksegmentierung: Docker-Umgebungen vom restlichen Netzwerk isolieren.

2. Exposition minimieren: Dienste nicht unnötig dem Internet zugänglich machen.

3. Chrome-Debugger-Port (9222): Zugriff nur über bestimmte Remote-IP-Adressen erlauben.

4. Passwortrotation: Standardanmeldedaten bei neuen Geräten durch starke Passwörter ersetzen.

Technik im Fokus: Beelzebub-Honeypot

Für die Analyse wurde das Open-Source-Honeypot-Framework Beelzebub genutzt. Damit lassen sich hochinteraktive Dienste durch einfache YAML-Dateien simulieren. Ein LLM kann dynamische Antworten erzeugen, sodass Angreifer glauben, mit einer echten API zu interagieren.

Bei Anfragen an den Docker-API-Endpunkt /_ping antwortet der Honeypot wie ein echter Docker 24.0.7-Server unter Linux. Die vollständige Docker-API-YAML-Datei ist auf GitHub verfügbar.

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky