Selbstreplizierende Dero-Malware infiziert containerisierte Umgebungen über exponierte Docker-APIs

Im Rahmen einer aktuellen Untersuchung von -Sicherheitslücken wurde eine ausgeklügelte Kampagne entdeckt, die sich gezielt gegen unsichere Docker-APIs richtet. Die Angreifer nutzen eine selbstverbreitende Malware, um kompromittierte Container als Vektoren für Kryptojacking zu instrumentalisieren. Ziel der Operation ist es, über infizierte Container Dero – eine datenschutzorientierte Kryptowährung – zu minen.

Der initiale Zugang erfolgt über öffentlich erreichbare Docker-Daemons (z. B. über Port 2375), bei denen keine Authentifizierung konfiguriert ist. Nach erfolgreicher Kompromittierung werden über die API bösartige Container deployed, die nicht nur selbst Mining betreiben, sondern auch benachbarte oder erreichbare Systeme nach weiteren exponierten Docker-APIs durchsuchen. Diese infizieren sie anschließend autonom weiter – ganz ohne Command-and-Control-Infrastruktur.

Infektionskette

Die eingesetzten Schadkomponenten bestehen aus zwei zentralen Modulen:

• nginx: ein bisher unbekannter Verbreitungstrojaner

• Dero-Miner: ein Go-basierter Kryptominer

Beide Payloads wurden mit UPX gepackt und von Kaspersky als Trojan.Linux.Agent.gen (nginx) und RiskTool.Linux.Miner.gen (Miner) klassifiziert.

Forensische Analysen belegen, dass kompromittierte Container nicht nur für das Mining missbraucht wurden, sondern auch neue Instanzen zur weiteren Verbreitung erstellt haben. Diese recursive Infektionslogik führte zu einer selbstverstärkenden Angriffswelle, die ohne zentrale Steuerung operiert – ein typisches Merkmal dezentraler, botnetzartiger Malware-Architekturen.

Kaspersky empfiehlt zur Eindämmung solcher Bedrohungen:

• Konsequente Absicherung von Docker-APIs durch Authentifizierungsmechanismen, Netzwerkgrenzen und Firewall-Regeln

• Laufzeitschutz für Container-Umgebungen

• Einsatz spezialisierter Tools wie Kaspersky Container Security, um Schwachstellen in Images und laufenden Instanzen frühzeitig zu erkennen

Fazit:

Der Vorfall unterstreicht die Relevanz von Runtime-Security im Container-Kontext. Während viele Unternehmen sich auf die Absicherung der CI/CD-Pipeline und Image-Integrität fokussieren, wird die Angriffsdynamik auf laufende Container oft unterschätzt. Die untersuchte Kampagne demonstriert eindrücklich, wie sich durch fehlende Absicherung in wenigen Schritten eine hochgradig skalierbare und autonome Bedrohung realisieren lässt.

Eine aktuelle Shodan-Analyse (April 2025) zeigt: Weltweit sind über 500 Docker-APIs ohne Schutzmechanismen öffentlich erreichbar. Diese offene Angriffsfläche ist ein massives Risiko – insbesondere, da Malware-Operationen wie diese keine manuelle Kontrolle mehr benötigen, um exponentiell zu wachsen.

Unternehmen mit containerisierten Workloads sollten ihre Angriffsoberfläche umgehend prüfen, Docker-Endpunkte absichern und umfassende Monitoring- und Response-Strategien implementieren.

Quelle: Kaspersky

---

Bild/Quelle: https://depositphotos.com/de/home.html