Эксперты Kaspersky Security Services обнаружили масштабную кибератаку, в рамках которой злоумышленники массово заражают контейнерные среды (изолированные пространства в ОС для запуска приложений, – "Газета.Ru") криптомайнером Dero. Об этом "Газете.Ru" сообщили в пресс-службе компании "Лаборатория Касперского".
Для получения доступа к этим средам они используют открытые API Docker — программные интерфейсы для платформы с открытым исходным кодом Docker, предназначенной для контейнерной разработки. Помимо майнера, атакующие запускают сетевой червь, способствующий продолжению цепочки заражений.
Эта кампания нацелена на организации, использующие контейнерную инфраструктуру без обеспечения строгого контроля за интерфейсами с точки зрения безопасности. В числе потенциальных мишеней — технологические компании, разработчики программного обеспечения, хостинг-провайдеры и поставщики облачных сервисов.
В ходе атаки злоумышленники сначала ищут API Docker, опубликованные небезопасным способом. По данным поисковой системы Shodan, в 2025 году в среднем по миру ежемесячно публиковалось 485 таких API на стандартных портах, включая Россию и страны СНГ. Затем компрометируются уже существующие контейнеры или создаются новые на основе стандартного легитимного образа Ubuntu.
В зараженные среды внедряются два вредоносных компонента — nginx и cloud. Cloud представляет собой сам криптомайнер Dero, тогда как nginx обеспечивает его работу и сканирует сеть для поиска других незащищенных сред. Вероятно, злоумышленники назвали этот компонент nginx, чтобы замаскировать его под известный одноименный легитимный веб-сервер и попытаться избежать обнаружения.
Особенностью этой кампании является отсутствие традиционного командного сервера: зараженные контейнеры могут сканировать сеть независимо друг от друга и продолжать распространять майнер.
Свежие комментарии