Обнаружен новый штамм вредоносного ПО Docker, блокирующий конкурентов на открытых API
Команда Hunt Team компании Akamai сообщила о новом варианте вредоносного ПО, нацеленного на уязвимые API Docker, который является продолжением кампании, впервые задокументированной этим летом. Первоначальный вариант, описанный Trend Micro в июне 2025 года, использовал неправильно настроенные сервисы Docker для установки криптомайнера, распространяемого через домен Tor.
В последнем исследовании Akamai, которым компания поделилась с Hackread.com, основанном на данных об активности ханипотов в августе, вредоносная программа преследует иную цель. Вместо того, чтобы внедрять майнер, она блокирует внешний доступ к API Docker и устанавливает инструменты для управления системой, что позволяет предположить, что операторы готовятся к чему-то большему, чем просто майнинг криптовалюты.
Согласно сообщению в блоге Akamai, злоумышленники по-прежнему используют открытые API Docker для проникновения внутрь, но их действия после получения доступа изменились. В этой новой версии вредоносная программа получает доступ к файловой системе хоста, запускает скрипт в кодировке Base64 и устанавливает механизмы персистентности, одновременно блокируя port 2375 , чтобы не допустить других злоумышленников.
Оттуда инфекция скачивает двоичный файл-дроппер, написанный на Go. Код содержит необычные детали, такие как эмодзи «пользователь», намекающие на то, что он, возможно, был создан с помощью большой языковой модели (LLM).
Кроме того, дроппер сканирует активные API Docker с помощью Masscan, а затем пытается повторить цикл заражения на других серверах. Это создаёт зачатки самораспространяющейся сети, что является ранним признаком создания ботнета .
Текущая активность направлена на эксплуатацию API Docker, но код также содержит процедуры для Telnet и порта удалённой отладки Chrome. Эти функции пока не активны, хотя они позволяют предположить, что операторы тестируют способы расширения области действия вредоносного ПО в будущих версиях.
Анализ Akamai также показал, что вредоносное ПО избирательно взаимодействует с конкурентами. Оно проверяет контейнеры под управлением Ubuntu, которые часто используются другими злоумышленниками для размещения криптомайнеров . Удаляя их, злоумышленники консолидируют контроль над скомпрометированными серверами, усиливая впечатление, что эта кампания направлена на создание инфраструктуры, а не на получение быстрой прибыли.
Исследование в значительной степени опиралось на Beelzebub , проект-приманку с открытым исходным кодом, имитирующий высокоинтерактивные сервисы. Имитируя ответы API Docker, Akamai удалось заставить злоумышленников раскрыть свою тактику в контролируемой среде и опубликовать индикаторы компрометации, включая два onion-домена, адрес веб-перехватчика и хэши файлов, связанных с вредоносным ПО.
Исследователи утверждают, что кампания всё ещё развивается, и злоумышленники уже меняют способы использования уязвимых API Docker. Для пользователей Docker наиболее эффективными мерами по снижению риска компрометации остаются защита API от доступа в общедоступный интернет и тщательный мониторинг активности.
HackRead
