Новая вредоносная кампания, нацеленная на контейнерные инфраструктуры, начала стремительное распространение по всему миру, превращая взломанные контейнеры в автоматизированные “зомби”-майнеры криптовалюты. Атака фокусируется на уязвимых и небезопасно настроенных Docker API-интерфейсах, чаще всего доступных через порт 2375.
По данным “Лаборатории Касперского”, злоумышленники проникают в систему, запускают заражённые контейнеры и инициируют непрерывный цикл самораспространения. Каждый заражённый контейнер становится плацдармом для последующих атак, формируя децентрализованную сеть цифровых зомби.
Главной целью становятся открытые Docker API, доступ к которым позволяет атакующим разворачивать вредоносные образы контейнеров и внедрять вредоносный код. В момент компрометации загружаются два исполняемых файла, написанных на Go и упакованных с помощью UPX.
Первый файл маскируется под веб-сервер nginx и выполняет функции распространения (определяется как Trojan.Linux.Agent.gen), а второй – майнер криптовалюты Dero, под названием “cloud” (определяется как RiskTool.Linux.Miner.gen).
Заражённый контейнер ведёт журналы активности в “/var/log/nginx.log” и создаёт метку версии в “/usr/bin/version.dat”, чтобы различать уже инфицированные цели. Затем начинается активное сканирование случайных IPv4-подсетей с помощью утилиты masscan в поиске других открытых Docker API. Если удаётся найти подходящую цель, создаются новые вредоносные контейнеры с произвольными именами длиной в 12 символов и атакуются удалённые хосты, преимущественно на базе Ubuntu 18.04.
Каждый новый контейнер автоматически оснащается всеми необходимыми инструментами – masscan, docker.io, а также копиями вредоносных программ. Распространение полностью автоматизировано и не требует участия командного сервера (C2), что делает эту атаку особенно опасной. Расчёт идёт на масштабируемость и максимальную скорость инфицирования.
Майнер “cloud” построен на базе открытого проекта DeroHE CLI и использует зашифрованные настройки, включая адрес кошелька (dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y) и ноды (d.windowsupdatesupport[.]link и h.wiNdowsupdatesupport[.]link), расшифровываемые в момент выполнения с помощью алгоритма AES-CTR. Если процесс майнинга останавливается, “nginx”-модуль автоматически перезапускает его, обеспечивая непрерывную добычу Dero на ресурсах жертвы.
В отличие от более изощрённых атак на Kubernetes, где акцент делается на скрытность, текущая кампания агрессивно проникает в соседние сети без маскировки, полагаясь на массовость и скорость. По данным Shodan за апрель 2025 года, в мире доступно 520 Docker API-интерфейсов, уязвимых для такого рода атак.
Автономность зомби-сети, полное отсутствие C2 и высокий уровень автоматизации делают угрозу особенно трудновыявляемой и разрушительной. По мнению специалистов “Лаборатории Касперского”, эффективная защита возможна лишь при использовании специализированных решений для контейнерной безопасности.
Атака наглядно демонстрирует, насколько важно уделять внимание не только безопасности исходных образов контейнеров, но и защите их исполнения в рантайме. Без должного контроля любая открытая точка может стать началом масштабной цифровой эпидемии.