攻撃者はDocker APIとTorを悪用してクラウド暗号資産マイニングを開始する

ホームニュース* 攻撃者は、クラウド環境で暗号通貨をマイニングするために、誤設定されたDocker APIを悪用しています。

• 彼らは暗号マイナーを展開する際に活動を隠すためにTorネットワークを使用します。
• 攻撃者がアクセスを取得し、新しいコンテナを作成し、重要なシステムディレクトリをマウントし、コンテナのエスケープのリスクを冒す。
• 攻撃は、リモートアクセスを設定し、データを収集し、XMRigマイナーをインストールするためのツールとスクリプトをインストールすることを含みます。
• 最近の調査では、公共のコードリポジトリに何百もの漏洩した認証情報があり、企業がさらなるリスクにさらされていることが示されています。 2025年6月に発表されたTrend Microの研究者によると、誤設定されたDockerインスタンスを対象としたアクティブなキャンペーンがあり、秘密裏に暗号通貨をマイニングしています。攻撃者は、誤設定されたDocker APIを悪用し、脆弱なクラウドホスティングされたコンテナに暗号マイニングツールを展開する際に、匿名性を保つためにTorネットワークを使用していると報告されています。

• 広告 - 研究者は、攻撃は通常、ホスト上のコンテナのリストを取得するためのDocker APIへのリクエストから始まることを確認しました。コンテナが存在しない場合、攻撃者は「alpine」イメージを使用して新しいコンテナを作成し、ホストシステムのルートディレクトリを共有ボリュームとしてマウントします。この手順により、攻撃者はコンテナの分離を回避してホストマシン上のファイルにアクセスできるようになり、より広範なシステム侵害のリスクが高まる可能性があります。

トレンドマイクロは、新しいコンテナを確立した後、攻撃者はBase64でエンコードされたシェルスクリプトを実行して、コンテナ内にTorをインストールすると述べています。次に、.onionアドレスでホストされているリモートスクリプトをダウンロードして実行し、「socks5h」などのツールや設定を使用して、すべてのトラフィックをTor経由でルーティングします。研究者によると、「これは、攻撃者がコマンドアンドコントロール(C&C)インフラストラクチャを隠し、検出を回避し、侵害されたクラウドまたはコンテナ環境内でマルウェアまたはマイナーを配信するために使用する一般的な戦術を反映しています」*この方法は、攻撃の起源を追跡する取り組みを複雑にすると付け加えています。

環境が設定されると、攻撃者は「docker-init.sh」という名前のシェルスクリプトをデプロイします。このスクリプトは、「/hostroot」ディレクトリがマウントされているかどうかを確認し、SSH設定を変更してルートログインを有効にし、将来のアクセスのために攻撃者のSSHキーを追加します。masscanやtorsocksなどの追加ツールがインストールされているため、攻撃者はネットワークをスキャンしてさらに検出を回避できます。この攻撃は、脅威アクターによって制御されるウォレットアドレスとマイニングプールで構成されたXMRig暗号通貨マイナーのインストールで最高潮に達します。

トレンドマイクロは、この活動が主にテクノロジー、金融、およびヘルスケアセクターを対象としていると述べています。また、Wizは、Pythonノートブックのファイルやアプリケーション設定ファイルなど、スタートアップ企業からフォーチュン100企業まで、影響を受けた組織の公開リポジトリに数百の機密性の高い認証情報が流出していることを発見した後、関連するセキュリティリスクも強調しています。研究者たちは、共有のPythonノートブックでコードを実行した結果、攻撃者が貴重な情報を自分のソースに結びつけることができると警告しています。

このトレンドは、攻撃者がエクスプロイトの自動化を続け、公共のコードリポジトリ全体で露出した資格情報を探しているため、クラウドおよびコンテナ環境のセキュリティを確保する重要性を強調しています。

####前の記事:

• マスターカードがパクソスのグローバルドルネットワークに参加し、ステーブルコインを強化する
• トランプがイラン・イスラエルの停戦を仲介し、暗号市場が上昇
• 連邦準備制度が銀行監督における「評判リスク」を削除
• フォートマイヤーズの公式は高齢者に対する増加する暗号ATM詐欺に取り組む
• ETHがトランプのイスラエル-イラン停戦発表後に8%上昇

-広告-