Эксперты Kaspersky Security Services обнаружили сложную кампанию, в рамках которой злоумышленники массово заражают контейнерные среды криптомайнером Dero. Чтобы получить доступ к таким средам, они используют открытые API Docker — программные интерфейсы для платформы с открытым исходным кодом Docker, предназначенной для контейнерной разработки. Помимо майнера, атакующие запускают сетевой червь, позволяющий продолжать цепочку заражений.
Потенциальные жертвы. Кибератака направлена на организации, которые используют контейнерную инфраструктуру, не обеспечивая при этом строгий контроль за интерфейсами с точки зрения безопасности. В числе потенциальных мишеней — технологические компании, разработчики ПО, хостинг-провайдеры, поставщики облачных сервисов.
Как происходит кибератака. Сначала злоумышленники ищут API Docker, опубликованные небезопасным способом. По данным поисковой системы Shodan, в 2025 году* в среднем по миру ежемесячно публиковалось 485 API Docker на стандартных портах**, в том числе в России и странах СНГ. Далее атака развивается следующим методом: компрометируются уже существующие контейнеры и создаются новые на основе стандартного легитимного образа Ubuntu. После их заражают двумя вредоносными компонентами — nginx и cloud. Cloud — это и есть сам криптомайнер Dero, а nginx отвечает за обеспечение его работы, а также сканирует сеть для поиска других незащищённых сред. Злоумышленники, вероятно, назвали этот компонент nginx, чтобы замаскировать его под известный одноимённый легитимный веб-сервер и попытаться таким образом избежать обнаружения. Доставка зловреда в рамках этой кампании происходит без участия традиционного командного сервера: заражённые контейнеры могут сканировать сеть независимо друг от друга и продолжать распространять майнер.
«Такой метод может привести к огромному росту числа заражений. Каждый скомпрометированный контейнер — это потенциальный источник кибератак, если в сетях, которые могут стать мишенью, не будут заблаговременно приняты меры безопасности, — объясняет Виктор Сергеев, руководитель команды реагирования на инциденты «Лаборатории Касперского». — Контейнеры имеют важнейшее значение для разработки, развёртывания и масштабирования программного обеспечения. Они широко используются в нативных облачных средах, DevOps и микросервисной архитектуре, что делает их целью кибератак. Поскольку организации всё больше зависят от контейнеров, необходимо применять комплексный подход к безопасности: использовать надёжные защитные решения, осуществлять проактивный поиск угроз и на регулярной основе выявлять признаки компроментации информационных систем, привлекая для этого внешних экспертов».
Атакующие встроили названия файлов (nginx и cloud) непосредственно в исполняемый файл. Это классический метод маскировки, который позволяет выдавать вредоносные инструменты за легитимные, чтобы их не могли обнаружить ИБ-специалисты и автоматизированные системы защиты.
Подробный технический анализ кампании доступен на сайте Securelist. Решения «Лаборатории Касперского» детектируют вредоносные импланты следующими вердиктами: Trojan.Linux.Agent.gen и RiskTool.Linux.Miner.gen.
Чтобы снизить риски, связанные с атаками на контейнеры, «Лаборатория Касперского» рекомендует:
* Данные с января по апрель 2025 года.
** Анализ включает небезопасно опубликованные стандартные API Docker на порте 2375.