Cryptojacking mit infizierten Docker-Images

Die Sicherheitsexperten von Palo Alto Networks haben ein schädliches Docker Hub-Konto entdeckt, in dem sechs „infizierte“ Images gehostet wurden, um die Kryptowährung Monero zu generieren.

Docker Hub ist ein beliebtes Repository für Docker-Benutzer, um frei verfügbare Docker-Anwendungsimages zum Ausführen zu finden. Kriminelle verwenden das Tool, um schädliche Docker-Bilder in großem Maßstab für Cryptojacking zu hosten.

Im Einzelnen haben die Angreifer zwischen April und Mai 2020 36.000 US-Dollar gestohlen: Eine der von den Angreifern verwendeten Brieftaschen-IDs hat über 525,38 XMR verdient, was ungefähr 36.000 US-Dollar entspricht.

Die Hacker verwendeten zwei unterschiedliche Cryptojacking-Methoden bereitgestellt, um Monero zu generieren. Bei der ersten Methode senden sie die abgebauten Blöcke mithilfe einer Brieftaschen-ID direkt an den zentralen minexmr-Pool. Bei der zweiten Methode wurde ein Hosting-Service verwendet, um einen eigenen Mining-Pool zu betreiben, der dann zum Sammeln von Mining-Blöcken verwendet wurde.

Das Docker-Sicherheitsteam konnte die schädlichen Images und das Docker Hub-Konto entfernen, nachdem es von Palo Alto Networks benachrichtigt wurde.

Beim zweiten Vorfall stand eine neue Variante einer hybriden Cryptojacking-Malware, im Blickpunkt, bei der die Schwachstelle CVE-2019-9081 missbraucht wurde. Eine genaue Analyse zeigte, dass die Malware „Lucifer“ DDoS-Angriffe ausführen kann und mit allen Arten von Exploits gegen anfällige Windows-Hosts ausgestattet ist. Die erste Welle der Kampagne wurde am 10. Juni 2020 gestoppt. Der Angreifer setzte seine Kampagne am 11. Juni 2020 fort, verbreitete eine aktualisierte Version der Malware und richtete Chaos an.

Lucifer ist eine sehr effektive Malware. Sie ist nicht nur in der Lage, XMRig für das Cryptojacking von Monero zu löschen, sondern kann auch den Betrieb und die Selbstverbreitung (C2) steuern, indem mehrere Schwachstellen ausgenutzt und Brute-Forcing für Anmeldeinformationen durchgeführt wird. Darüber hinaus werden EternalBlue-, EternalRomance- und DoublePulsar-Backdoor für anfällige Ziele für Intranet-Infektionen gelöscht und ausgeführt.

Die Hacker selbst hatten ihre Malware „Satan“ getauft, aber Palo Alto entschied sich für den Namen „Lucifer“, um Verwechslungen mit der bereits existierenden Satan Ransomware zu vermeiden. Die Ausbeute der Angreifer fiel bisher eher bescheiden aus und belief sich auf etwa 32 US-Dollar. Zu den durch Lucifer verwundbaren Plattformen zählen Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework und Microsoft Windows.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Jakob Jung

Recent Posts

Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Sie setzen insgesamt 18 Anwendungen bis April 2020 für Angriffe auf nicht genannte Ziele ein.…

1 Tag ago

Schlafende Tabs: Microsoft reduziert Stromverbrauch seines Browsers Edge

Tests zufolge sinkt die Speicherauslastung um durchschnittlich 26 Prozent. Die CPU-Nutzung geht um 29 Prozent…

1 Tag ago

Apple behebt Fehler in macOS 10.15 Catalina und iOS 14

Unter iOS und iPadOS lassen sich Standardanwendungen für Browser und E-Mail nun dauerhaft einrichten. Auch…

2 Tagen ago

IAM-Lösung von Beta Systems bei der Thüringer Aufbaubank

Die Beta Systems Software AG setzt in einem IAM-Projekt bei der Thüringer Aufbaubank Rollenkonzepte mit…

2 Tagen ago

AgeLocker-Ransomware stiehlt Daten von QNAP-NAS-Geräten

Die Erpressersoftware ist seit rund einem Monat aktiv. Sie nutzt den Verschlüsselungsalgorithmus Actually Good Encryption.…

2 Tagen ago

Microsoft warnt vor aktiven Angriffen auf Zerologon-Lücke

Hacker nehmen Exploits für die Schwachstelle in ihr Waffenarsenal auf. Für US-Behörden wird der verfügbare…

2 Tagen ago