Kinsing: Malware-Kampagne nimmt Docker-Server ins Visier

Der Cloud-Sicherheitsanbieter Aqua Security hat eine Malware-Kampagne analysiert, die sich gegen Docker-Server richtet. Schon seit Ende vergangenen Jahres suchen Cyberkriminelle nach API-Ports, die über das Internet und ohne Eingabe eines Passworts erreichbar sind. Die ungeschützten Hosts nutzen sie, um eine Crypto-Mining-Malware namens Kinsing zu installieren.

Laut Gal Singer, Sicherheitsforscher bei Aqua Security, richten die Hintermänner der Kampagne auf ungeschützten Docker-Instanzen einen Ubuntu-Container ein, auf dem die Kinsing-Schadsoftware installiert wird.

Ihre wichtigste Aufgabe ist, die Ressourcen der gehackten Docker-Instanz für das Schürfen einer Kryptowährung einzusetzen. Kinsing bietet aber auch weitere Funktionen. Dazu gehören Skripte, die möglicherweise schon vorhandene Malware entfernen. Kinsing sammelt aber auch SSH-Anmeldedaten, um weitere Cloud-Systeme zu infizieren.

Der Sicherheitsanbieter rät Unternehmen, die Einstellungen ihrer Docker-Instanzen zu prüfen und sicherzustellen, dass keine administrativen APIs über das Internet verfügbar sind beziehungsweise mit einer Firewall oder einem VPN-Gateway geschützt werden. Nicht benutzte Programmierschnittstellen sollten zudem abgeschaltet werden.

Docker-Instanzen sind beliebte Ziele von Crypto-Mining-Botnets. Aqua Security deckte bereits im Frühjahr 2018 eine solche Kampagne auf. Weitere Vorfälle wurden von Sysdig, Trend Micro, Juniper Networks, Imperva, Alibaba und Palo Alto Networks dokumentiert.