Layanan Docker menjadi target kampanye baru di mana pelaku ancaman menyebarluaskan penambang cryptocurrency XMRig dan perangkat lunak 9Hits Viewer sebagai bagian dari strategi monetisasi multi-cabang.
Perusahaan keamanan cloud Cado melaporkan bahwa Docker sekarang rentan terhadap kampanye malware yang melibatkan penambang XMRig dan 9Hits Viewer. Kejadian ini menunjukkan bahwa pelaku ancaman terus mengembangkan strategi untuk menghasilkan uang dari host yang berhasil disusupi.
9Hits dikenal sebagai "solusi lalu lintas web yang unik" dan "pertukaran lalu lintas otomatis," memungkinkan anggota layanan untuk mengarahkan lalu lintas ke situs mereka dengan membeli kredit.
Cara pasti menyebarkan malware ke host Docker yang rentan masih belum jelas, namun diperkirakan melibatkan penggunaan mesin pencari seperti Shodan untuk memindai calon target.
Server yang rentan kemudian ditembus untuk menyebarkan dua kontainer berbahaya melalui Docker API dan mengambil gambar siap pakai dari Docker Hub untuk perangkat lunak 9Hits dan XMRig.
Peneliti keamanan Nate Bill mengungkapkan bahwa ini adalah vektor serangan umum dalam kampanye yang menargetkan Docker. Pelaku ancaman menggunakan gambar umum dari Docker Hub dan memanfaatkannya untuk kebutuhan mereka.
Wadah 9Hits digunakan untuk mengeksekusi kode guna menghasilkan kredit bagi penyerang. Mereka mengautentikasi dengan 9Hits menggunakan token sesi mereka dan mengekstraksi daftar situs yang akan dikunjungi.
Pelaku ancaman juga mengonfigurasi skema untuk mengizinkan kunjungan ke situs dewasa atau situs dengan popup, sementara mencegah kunjungan ke situs terkait cryptocurrency.
Kontainer lainnya digunakan untuk menjalankan penambang XMRig yang terhubung ke kumpulan penambangan pribadi, membuat sulit menentukan skala dan profitabilitas kampanye.
Dampak utama kampanye ini pada host yang disusupi adalah kehabisan sumber daya. Penambang XMRig menggunakan semua sumber daya CPU yang tersedia, sementara 9Hits menggunakan sejumlah besar bandwidth, memori, dan sedikit CPU yang tersisa.
Sebagai hasilnya, server yang terinfeksi mengalami beban kerja yang signifikan dan mungkin diperbarui untuk meninggalkan shell jarak jauh pada sistem, berpotensi menyebabkan pelanggaran yang lebih serius.