Зомби-майнер Dero атакует Docker API для создания криптоджекинг-сети

Как работает атака

Зловред состоит из двух компонентов:

• nginx - инструмент для распространения, маскирующийся под легитимный веб-сервер.
• cloud - майнер Dero, крадущий вычислительные ресурсы жертв.

Атака начинается с эксплуатации Docker API, оставленного открытым в интернете. После взлома злоумышленники:

1. Создают новый контейнер с именем из случайных символов.
2. Устанавливают в него сканер masscan для поиска других уязвимых Docker API.
3. Загружают майнер и обеспечивают его автозапуск через .bash_aliases.
4. Заражают уже работающие контейнеры на основе Ubuntu 18.04.

Особенности угрозы

• Самостоятельное распространение - не требует C2-сервера, используя только случайный перебор IP-сетей.
• Стелс-технологии - майнер скрывает конфигурацию с помощью AES-шифрования.
• Монетизация - добытая криптовалюта отправляется на кошелёк dero1qyy8xjrdjcn2dvr6pwe40jrl3evv9vam6tpx537vux60xxkx6hs7zqgde993y.

Масштабы угрозы

По данным Shodan, в апреле 2025 года в интернете оставалось 520 незащищённых Docker API на порту 2375. Ранее та же группа атаковала Kubernetes-кластеры через образ pauseyyf/pause:latest в Docker Hub.

Вывод

Эта кампания демонстрирует, как даже единичная уязвимость в контейнеризованной инфраструктуре может привести к массовому заражению. Организациям следует срочно проверить настройки Docker и усилить мониторинг активности.

Domains

• d.windowsupdatesupport.link
• h.windowsupdatesupport.link

MD5

• 094085675570a18a9225399438471cc9
• 14e7fb298049a57222254ef0f47464a7

SHA1

• 7a60e8398cd4f9bd46b6bcf9bfa9863c1bf87ea8
• 9b93a8a1d6a300cad7acff15cb604ded4fbbc80b

SHA256

• be81a7fb61f9ea26eaf2369988476dd4c952177ce3d3d935ab492b47595ae7e6
• e4aa649015b19a3c3350b0d897e23377d0487f9ea265fe94e7161fed09f283cf