- 攻撃者は公開されたDocker APIを悪用し、クリプトジャッカーを展開してさらなる標的をスキャン
- マルウェアは永続化ツールをインストールし、TelnetやChromeポート攻撃用の非アクティブなコードも含み、今後ボットネット化する可能性
- AkamaiはDockerの分離、公開サービスの制限などを推奨
サイバー犯罪者は公開されたDocker APIを狙い、クリプトジャッカーをインストールしたり、インターネット上のさらなる潜在的被害者をスキャンしたり、さらにはボットネットの構築を試みています。
最近、Akamaiのセキュリティ研究者がこの新たなキャンペーンについて詳細なレポートを発表しました。これは2025年6月末にTrend Microが発見した類似の攻撃の継続とみられています。
このキャンペーンは、DockerのAPIがポート2375で公開されているサーバーを探すことを中心に展開されています。特定されると、攻撃者は新しいコンテナを作成し、隠されたTORブラウザー(.onion)サイトからスクリプトをダウンロードします。
クリプトジャッキング・ボットネット
このスクリプトはシステム設定を変更して永続化を確立し、Masscanなどのスキャンソフトウェアをインストールし、さらに追加のマルウェアを投下します。このマルウェアはインターネット上の他の公開インスタンスをスキャンし、感染プロセスを繰り返します。
このマルウェアにはTelnet(ポート23)やChromiumのデバッグポート(9222)を攻撃するコードも含まれています。前者の場合は脆弱なルーターや他のデバイスを総当たり攻撃し、後者の場合はブラウザーセッションを乗っ取り、Cookieやその他のデータを盗むことができます。
これらの機能はまだ有効化されていませんが、研究者によれば今後有効化される可能性が示唆されています。
現時点では、このキャンペーンは主にクリプトジャッキングを目的としており、インスタンスはMonero暗号資産のマイニングに乗っ取られています。しかし、追加コードからは、攻撃者がこれをデータ窃取や大規模なDDoS攻撃などに利用できるボットネットへと拡張しようとしている意図がうかがえます。
これらの攻撃を防止・軽減するために、AkamaiはITチームが実施すべき4つの対策を提案しています。まず、Docker環境をネットワークの他の部分から分離すること。これにより攻撃者の横展開を防ぐことができます。また、インターネットに公開するサービスを最小限に抑えることも重要です。
「このマルウェアはポート2375、9222、23をインターネットからアクセスすることで悪用しており、これらへのアクセスを遮断することで脅威を完全に防ぐことができます」と述べています。さらに、Chromeのデバッガーポート(9222)を使用する場合は、0.0.0.0ではなく特定のリモートIPアドレスを指定すること、そして新しいデバイスを導入する際は、デフォルトの認証情報を必ず強固なものに変更することが推奨されています。
