Docker-containers onder vuur van cryptomining-hackers

De aanvallers hebben inmiddels vele duizenden aanvallen opgezet en zijn er vrjjwel dagelijks mee bezig, meldt IT-beveiliger Aquasec in een blog. De onderzoekers zijn er van overtuigd dat dit een georganiseerde bende is en niet een geïmproviseerde actie vaneen gelukszoeker.

De aanvallen zijn allemaal gericht op een slecht geconfigureerde Docker API-port. Is die gevonden, dan wordt een Ubuntu-container met de Kinsing-malware geïnstalleerd. Daarin bevinden zich een cryptominer en software die probeert de container ook op andere containers en hosts te plaatsen.

Voordat de malware start met zijn acties, zoekt deze eerst contact een aantal command & control-servers die in Oost-Europa zijn gesitueerd. Er zijn vier servers die elk hun eigen taak hebben in het proces. Zo worden van twee verschillende servers essentiële onderdelen van de malware gedownload.

Cloudnative steeds aantrekkelijker

De onderzoekers zien in deze aanval een voorbeeld dat cloudnative-omgevingen in toenemende mate doelwit worden van bedreigingen. Nu het gebruik van deze omgevingen steeds omvangrijker wordt en het gebruik van containers toeneemt, worden de aanvallen steeds ambitieuzer en geraffineerder.

De onderzoekers raden beheerders van dergelijke omgevingen aan nog eens goed na te gaan welke cloudbronnen zij gebruiken en ze in een logische structuur onder te brengen. Alle beveiligingsinstellingen moeten nagelopen worden en op het hoogst mogelijke niveau worden gebracht. Richt het beveiligingsbeleid zo in dat het makkelijk kan worden afgedwongen. Scan de logfiles op onregelmatigheden.