誤設定されたDockerインスタンスは、Tor匿名ネットワークを利用して脆弱な環境で暗号通貨を密かにマイニングするキャンペーンの標的となっています。
「攻撃者は誤設定されたDocker APIを利用してコンテナ化された環境にアクセスし、Torを使用して活動を隠しながら暗号マイナーを展開しています」と、Trend Microの研究者であるSunil BhartiとShubham Singhは先週発表された分析で述べました。
Torを使用することで、侵害されたシステムにマイナーをインストールする際にその起源を匿名化することが目的です。サイバーセキュリティ企業によると、攻撃はIPアドレス198.199.72[.]27からのリクエストで始まり、マシン上のすべてのコンテナのリストを取得します。
コンテナが存在しない場合、攻撃者は「alpine」Dockerイメージに基づいて新しいコンテナを作成し、「/hostroot」ディレクトリ、つまり物理または仮想ホストマシンのルートディレクトリ(「/」)をボリュームとして内部にマウントします。この動作は、コンテナがホストシステム上のファイルやディレクトリにアクセスし、変更することを可能にするため、セキュリティリスクをもたらします。
脅威アクターは、コンテナ作成要求の一環としてTorをセットアップするためにBase64でエンコードされたシェルスクリプトを実行し、最終的に.onionドメイン(「wtxqf54djhp5pskv2lfyduub5ievxbyvlzjgjopk6hxge5umombr63ad[.]onion」)からリモートスクリプトを取得して実行する、慎重に計画された一連のアクションを実行します。
「これは、攻撃者がコマンド・アンド・コントロール(C&C)インフラストラクチャを隠し、検出を避け、侵害されたクラウドまたはコンテナ環境内でマルウェアやマイナーを配信するためによく使用される戦術を反映しています」と研究者は述べました。「さらに、攻撃者は『socks5h』を使用して、すべてのトラフィックとDNS解決をTor経由でルーティングし、匿名性と回避を強化しています。」
コンテナが作成されると、「docker-init.sh」シェルスクリプトが展開され、以前にマウントされた「/hostroot」ディレクトリを確認し、システムのSSH設定を変更して、ルートログインを有効にし、攻撃者が制御するSSHキーを~/.ssh/authorized_keysファイルに追加してリモートアクセスを設定します。
脅威アクターはまた、masscan、libpcap、zstd、torsocksなどのさまざまなツールをインストールし、感染したシステムの詳細をC&Cサーバーにビーコンし、最終的にXMRig暗号通貨マイナーのドロッパーとして機能するバイナリを配信し、必要なマイニング設定、ウォレットアドレス、マイニングプールURLを提供します。
「このアプローチは、攻撃者が検出を回避し、侵害された環境での展開を簡素化するのに役立ちます」とTrend Microは述べ、技術企業、金融サービス、医療機関を標的とする活動を観察したと付け加えました。
この発見は、進行中の、トレンドを示しており、サイバー 攻撃が、標的とする誤設定またはセキュリティが不十分なクラウド環境を暗号ジャッキング目的で利用しています。
この開発は、Wizが公開コードリポジトリのスキャンを行った結果、mcp.json、.env、AIエージェントの設定ファイル、Pythonノートブック(.ipynb)に数百の検証済みの秘密が見つかり、それが攻撃者にとっての宝の山となることが明らかになったことを受けて行われました。
クラウドセキュリティ企業は、Fortune 100企業を含む30社以上の企業やスタートアップに属する有効な秘密を発見したと述べました。
「秘密だけでなく、Pythonノートブックでのコード実行結果は一般的に機密として扱われるべきです」と研究者のShay BerkovichとRami McCarthyは述べました。「その内容が開発者の組織に関連付けられると、悪意のあるアクターにとっての偵察情報を提供する可能性があります。」
翻訳元: https://thehackernews.com/2025/06/hackers-exploit-misconfigured-docker.html