새로운 자체 스프레드 맬웨어를 대상으로하는 개인 정보 Crypto Dero

맬웨어는 웜처럼 퍼지고 신선한 장치를 감염시킨 후 악성 용기를 낳았습니다.

2025 년 5 월 28 일 오후 1시 11 분

새로 발견 된 Linux Malware 캠페인은 전 세계적으로 보안되지 않은 Docker 인프라를 손상시키고 노출 된 서버를 개인 정보 보호 코인 Dero를 채굴하는 분산 된 크립토 재킹 네트워크의 일부로 전환합니다.

사이버 보안 회사 인 카스퍼 스키 (Kaspersky)의 보고서에 따르면,이 공격은 포트 2375를 통해 공개적으로 노출 된 도커 API를 이용하여 시작됩니다. 일단 액세스가 얻어지면 악성 코드는 악의적 인 컨테이너를 생성합니다. 이미 실행하는 것들을 감염시키고, 시스템 리소스를 세척하여 중앙 명령 서버를 사용하지 않고 DERO를 채굴하고 추가 대상을 스캔합니다.

소프트웨어 측면에서 Docker는 OS 레벨 가상화를 사용하여 컨테이너라는 소형 패키지로 소프트웨어를 제공하는 일련의 애플리케이션 또는 플랫폼 도구 및 제품 세트입니다.

이 작업 뒤에있는 위협 행위자는 두 개의 골란 랑 기반 임플란트 (하나 인 Nginx”(합법적 인 웹 서버 소프트웨어로 가장 무도회하려는 시도)와 DERO를 생성하는 데 사용되는 실제 채굴 소프트웨어 인 “Cloud”라고 불리는 두 개의 골란 랑 기반 임플란트를 배치했습니다.

호스트가 손상되면 Nginx 모듈은 대상을 식별하고 새로운 감염된 컨테이너를 배포하기 위해 Masscan과 같은 도구를 사용하여 더 취약한 Docker 노드를 위해 인터넷을 지속적으로 스캔했습니다.

연구원들은“전체 캠페인은 좀비 컨테이너가 발생하는 것처럼 행동합니다. “감염된 노드 중 하나는 자율적으로 새로운 좀비를 생성하여 더 많은 좀비를 만들고 더 확산시킵니다. 외부 제어가 필요하지 않습니다.

감지를 피하기 위해 지갑 주소 및 DERO 노드 엔드 포인트를 포함한 구성 데이터를 암호화하고 합법적 인 시스템 소프트웨어가 일반적으로 사용하는 경로 아래에 숨 깁니다.

카스퍼 스키는 2023 년과 2024 년에 Kubernetes 클러스터를 대상으로 한 초기 크립토 재킹 캠페인에 사용 된 동일한 지갑 및 노드 인프라를 식별하여 새로운 위협보다는 알려진 작업의 진화를 나타냅니다.

그러나이 경우 자체 확산 벌레 논리를 사용하고 중앙 명령 서버가 없으면 특히 탄력적이고 종료하기가 더 어려워집니다.

5 월 초 현재, 520 개가 넘는 Docker API가 전 세계 포트 2375에 공개적으로 노출되었습니다.