Share
Beitragsbild zu Off Your Docker: Neue Malware zielt auf offene APIs

Off Your Docker: Neue Malware zielt auf offene APIs

9. September 2025

Das Akamai Hunt Team hat eine neue Malware-Variante entdeckt, die gezielt offene Docker-APIs angreift und über erweiterte Infektionsfunktionen verfügt. Zuletzt wurde sie im August 2025 in der Honeypot-Infrastruktur von Akamai registriert.

Ursprünglich wurde die Malware bereits im Juni 2025 vom Threat-Intelligence-Team von Trend Micro identifiziert. Die damals gefundene Version platzierte einen Cryptominer hinter einer Tor-Domain. Die aktuelle Variante, die Akamai beobachtete, nutzt einen anderen Zugriffsvektor: Sie blockiert den Zugriff Dritter auf die Docker-API aus dem Internet.

Auch die Binärdatei unterscheidet sich von der ursprünglichen Version. Statt eines Cryptominers enthält sie Dateien mit zuvor genutzten Tools und zusätzlichen Infektionsfunktionen.

In einem Blogbeitrag beschreibt Akamai alle technischen Details, Unterschiede zwischen den Varianten und die Indikatoren für Kompromittierung (IOCs), die für die Abwehr der Bedrohung relevant sind.

Am 8. September warnten die Sicherheitsforscher vor einer neuen Kampagne, bei der Hacker ebenfalls den externen Zugriff auf exponierte Docker-APIs blockieren. Akamai erklärt: „Diese neue Variante verwendet ähnliche Tools wie das Original, verfolgt aber möglicherweise andere Ziele, darunter die Grundlage für ein komplexes Botnetz.“

Laut Akamai fügen die Angreifer einen Cron-Job in die crontab-Datei ein, der jede Minute den Zugriff auf Port 2375 der Docker-API blockiert. Die crontab-Datei liegt auf dem Host, da sie beim Erstellen des Containers gemountet wurde. Ziel ist es, den Zugriff für andere Angreifer zu verhindern und die Kontrolle über die exponierte Instanz zu sichern.

Zudem setzen die Angreifer Tools ein, um Massenscans nach offenen 2375-Ports durchzuführen. Diese sollen die Verbreitung von Malware durch die Erstellung neuer Container über exponierte APIs erleichtern. Der Code prüft auch, ob bereits andere bösartige Container mit Cryptominern existieren.

Die Analyse der Malware-Dateien deutet darauf hin, dass die Angreifer bei der Entwicklung ihrer Tools KI eingesetzt haben. Die Skripte suchen zudem nach weiteren offenen Ports wie 23 (Telnet) und 9222 (Remote-Debugging für Chromium). Obwohl diese Ports bisher nicht aktiv genutzt wurden, könnte dies künftigen Malware-Versionen ermöglichen, sensible Daten zu stehlen, auf geschützte Informationen zuzugreifen, DDoS-Angriffe zu starten oder Remote-Dateien bereitzustellen. Akamai vermutet, dass es sich bei dieser Variante um eine erste Version eines komplexen Botnetzes handelt.

Erkennung der Bedrohung

Mögliche Indikatoren für eine Infektion:

  • Neu bereitgestellte Container, die unmittelbar eine Installationsanwendung (apt, yum) und einen Downloader (curl, wget) ausführen.

  • Neue Verbindungen aus dem Internet zu Ports 2375, 9222 oder 23.

  • Auffällige Base64-kodierte Befehle und deren dekodierte Inhalte.

  • Anomalien bei Downloader-Anwendungen, die auf verdächtige Domänen zugreifen.

  • Hauptdienste, die plötzlich nicht mehr erreichbar sind.

  • Container mit gemountetem Host-Dateisystem (z. B. /, /var/run/docker.sock, /etc).

Prävention und Schadensbegrenzung

Vier Maßnahmen können die Sicherheit erhöhen:

  1. Netzwerksegmentierung: Docker-Umgebungen vom restlichen Netzwerk isolieren.

  2. Exposition minimieren: Dienste nicht unnötig dem Internet zugänglich machen.

  3. Chrome-Debugger-Port (9222): Zugriff nur über bestimmte Remote-IP-Adressen erlauben.

  4. Passwortrotation: Standardanmeldedaten bei neuen Geräten durch starke Passwörter ersetzen.

Technik im Fokus: Beelzebub-Honeypot

Für die Analyse wurde das Open-Source-Honeypot-Framework Beelzebub genutzt. Damit lassen sich hochinteraktive Dienste durch einfache YAML-Dateien simulieren. Ein LLM kann dynamische Antworten erzeugen, sodass Angreifer glauben, mit einer echten API zu interagieren.

Bei Anfragen an den Docker-API-Endpunkt /_ping antwortet der Honeypot wie ein echter Docker 24.0.7-Server unter Linux. Die vollständige Docker-API-YAML-Datei ist auf GitHub verfügbar.

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Fachartikel

Featured image for “Bluetooth-Scanner enthüllt: Was Ihre Geräte über Ihren Alltag preisgeben”

Bluetooth-Scanner enthüllt: Was Ihre Geräte über Ihren Alltag preisgeben

Featured image for “Sicherheitslücken in Passwortmanagern: ETH-Forschende hebeln Zero-Knowledge-Versprechen aus”

Sicherheitslücken in Passwortmanagern: ETH-Forschende hebeln Zero-Knowledge-Versprechen aus

Featured image for “REMnux v8: Malware-Analyse-Toolkit erhält KI-Integration und erweiterte Funktionen”

REMnux v8: Malware-Analyse-Toolkit erhält KI-Integration und erweiterte Funktionen

Featured image for “Cloudflare Pages als Tarnung: Weiterleitungsnetzwerk verteilt Malware über 250 gefälschte Blogs”

Cloudflare Pages als Tarnung: Weiterleitungsnetzwerk verteilt Malware über 250 gefälschte Blogs

Featured image for “KI-Framework Zen-AI-Pentest vereint 20 Sicherheitstools unter einem Dach”

KI-Framework Zen-AI-Pentest vereint 20 Sicherheitstools unter einem Dach

Studien

Featured image for “Deutsche Wirtschaft unzureichend auf hybride Bedrohungen vorbereitet”

Deutsche Wirtschaft unzureichend auf hybride Bedrohungen vorbereitet

Featured image for “Cyberkriminalität im Dark Web: Wie KI-Systeme Betrüger ausbremsen”

Cyberkriminalität im Dark Web: Wie KI-Systeme Betrüger ausbremsen

Featured image for “Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken”

Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken

Featured image for “Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken”

Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken

Featured image for “Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland”

Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland

Whitepaper

Featured image for “Sicherheitslücken in Passwortmanagern: ETH-Forschende hebeln Zero-Knowledge-Versprechen aus”

Sicherheitslücken in Passwortmanagern: ETH-Forschende hebeln Zero-Knowledge-Versprechen aus

Featured image for “MITRE ATLAS analysiert OpenClaw: Neue Exploit-Pfade in KI-Agentensystemen”

MITRE ATLAS analysiert OpenClaw: Neue Exploit-Pfade in KI-Agentensystemen

Featured image for “BSI setzt Auslaufdatum für klassische Verschlüsselungsverfahren”

BSI setzt Auslaufdatum für klassische Verschlüsselungsverfahren

Featured image for “Token Exchange: Sichere Authentifizierung über Identity-Provider-Grenzen”

Token Exchange: Sichere Authentifizierung über Identity-Provider-Grenzen

Featured image for “KI-Agenten in Unternehmen: Governance-Lücken als Sicherheitsrisiko”

KI-Agenten in Unternehmen: Governance-Lücken als Sicherheitsrisiko

Hamsterrad-Rebell

Featured image for “KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen”

KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen

Featured image for “NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg”

NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg

Featured image for “Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen”

Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen

Featured image for “Identity Security Posture Management (ISPM): Rettung oder Hype?”

Identity Security Posture Management (ISPM): Rettung oder Hype?

Featured image for “Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern”

Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern