Offene API-Endpunkte von Docker-Systemen werden von Hackern bedroht.

Eine tödliche Hackergruppe hat damit begonnen, das Internet massenhaft zu scannen, um nach

Bitcoin Code mit API-Endpunkten zu suchen, beginnend mit denen, die im Internet verbreitet sind. Die Aktion des Scannens begann am 24. November 2019 und wurde wegen seiner gigantischen Größe sofort ausgelöst. Und das scheint nicht nur ein durchschnittlicher Skript-Kindermissbrauchsprozess zu sein.

Was der Bitcoin Code besagt

Hacker schlafen nicht

Der Hauptantrieb dieser speziellen Massenscans besteht darin, es Angreifern zu ermöglichen, Befehle an den Docker-Container zu geben und auch einen digitalen Currency Miner auf den Docker-Instanzen der Firma zu verwenden, um Geld für ihre eigenen egoistischen Gewinne zu sammeln.

Derzeit versucht das Hackerteam, das diese bösartigen Angriffe durchführt, über 60.000 IP-Netzwerke (Netzblocks) zu scannen und nach allen potenziell gefährdeten Docker-Instanzen zu suchen. Sobald die Spieler einen exponierten Host finden, setzen Hacker den API-Endpunkt ein, um ein Alpine Linux-Betriebssystem zu starten, das einige der von ihnen verwendeten Befehle unterstützen kann.

Einige der Befehle haben die Fähigkeit, ein Bash-Skript vom Internet- und Datenserver der Hacker herunterzuladen und auszuführen. Darüber hinaus läuft das Skript und richtet ein Modell XMRRRig Digital Currency Miner ein. Innerhalb von nur vier Tagen nach der Operation haben Angreifer erfolgreich über 15 Monero (XMR) Kryptowährungen im Wert von mehr als 750 US-Dollar abgebaut.

Seien Sie vorsichtig

Darüber hinaus verfügt die Malware-Kampagne über einen Selbstverteidigungsmechanismus. Außerdem werden alle identifizierten Überwachungsagenten deinstalliert und mehrere Prozesse durch ein Skript, auf das von einer bestimmten Website aus zugegriffen wird, weiter beschädigt.

Wenn Sie das Skript beobachten, werden Sie feststellen, dass Angreifer Sicherheitselemente deaktivieren, sie schließen auch Prozesse im Zusammenhang mit konkurrierenden

Bitcoin Code wie DDG und anderen. Angreifer bilden auch Backdoor-Konten über die angegriffenen Container, und sie ermöglichen den Zugriff auf SSH-Schlüssel ohne großen Aufwand.

Anwendern und Institutionen, die Docker-Instanzen verwenden, wird vorerst empfohlen, sofort zu überprüfen, ob sie ihre API-Endpunkte gefährden, indem sie sie online weit verbreitet sind, alle Ports herunterzufahren und auch nicht identifizierte Container, die in Gebrauch sind, zu entlassen.