برمجيات الـزومبي الذاتية التكاثر تستهدف Docker

تتم اختراق الحاويات غير المؤمنة من Docker بواسطة البرامج الخبيثة التي تنتشر بشكل مستقل، مما يخلق شبكة زومبي تعدين للعملة الرقمية المركزة على الخصوصية Dero.

تحولت حملة التشفير الجديدة إلى حاويات Docker غير مؤمنة في شبكة زومبي الانتشار السريع التي تعدن العملة المشفرة التي تركز على الخصوصية، Dero. ينتشر البرنامج الخبيث بمفرده، بدون خادم للتحكم والأوامر، مما يجعله أصعب لإيقافه.

اكتشف الباحثون في كاسبرسكي العدوى خلال تقييم أمني روتيني. قالوا: “اكتشفنا عددًا من الحاويات المشتغلة التي تظهر نشاطات ضارة”.

يبدأ الهجوم عندما يتم العثور على واجهات برمجة التطبيقات العامة لـ Docker على الإنترنت. بمجرد اختراق واحدة، ينشئ البرنامج الضار حاويات ضارة جديدة ويختطف الحاويات الموجودة بالفعل – تحويلها إلى “زومبي” تقوم بتعدين Dero وإصابة الآخرين.

تستخدم الهجمة اثنين من برامج الضارة القائمة على Golang، وكلاهما مخفي بالتغليف UPX: الأول يسمى nginx (لا يجب الخلط بينه وبين خادم الويب الشرعي)، والثاني هو منجم Dero السحابي. قامت Kaspersky بتحديدهما على أنهما Trojan.Linux.Agent.gen و RiskTool.Linux.Miner.gen.

يقوم برنامج الضرر nginx بتقليد كونه أداة ويب شرعية ويحافظ على عمل المنجم بينما يفحص الإنترنت باستمرار بحثًا عن أهداف جديدة. يبحث عن واجهات برمجة التطبيقات Docker المفتوحة على منفذ 2375 ويستخدم أدوات مثل masscan للكشف عنها. بمجرد أن يجد نظامًا ضعيفًا، ينشر حاوية Ubuntu مزيفة ويثبت البرنامج الضار.

تحاول أيضًا السيطرة على الحاويات الموجودة بالفعل من خلال التحقق من وجود ملف خاص، هو version.dat. إذا كان الملف مفقودًا، تقوم بتثبيت البرمجية الخبيثة وتبدأ بالتعدين.

يخفي منجم السحابة محفظته وعناوين الخادم باستخدام سلاسل مشفرة. بمجرد فك التشفير، تمكن الباحثون من تتبعها إلى هجمات سابقة على مجموعات Kubernetes.

“تم تصميم هذا الزرع لتقليل التفاعل مع المشغل”، هذا ما ذكرته التقرير، محذرة أن حملات مشابهة قد تكون لا تزال نشطة.

يحذر خبراء الأمن أنه طالما تتعرض واجهات برمجة التطبيقات الخاصة بـ Docker عبر الإنترنت دون حماية، فستستمر حملات الاستغلال السري للعملات الرقمية. يجب على المستخدمين تأمين بيئات Docker الخاصة بهم من خلال تعطيل واجهات برمجة التطبيقات المفتوحة وتشديد الرقابة على الوصول إلى الشبكة.