Theo tin từ Foresight News, dựa trên báo cáo của công ty an ninh mạng Kaspersky, hoạt động phần mềm độc hại Linux mới được phát hiện đang gây nguy hiểm cho cơ sở hạ tầng Docker không an toàn, biến các máy chủ bị phơi nhiễm thành một phần của mạng lưới crypto bị chiếm quyền phi tập trung để đào tiền ẩn danh Dero.
Cuộc tấn công này ban đầu đã khai thác Docker API được công khai trên cổng 3275. Sau khi có quyền truy cập, phần mềm độc hại này sẽ tạo ra các container độc hại. Nó sẽ nhiễm vào các container đang chạy, chiếm tài nguyên hệ thống để đào phần mềm độc hại Dero và quét các mục tiêu khác mà không cần máy chủ lệnh trung tâm. Về mặt phần mềm, docker là một tập hợp các công cụ và sản phẩm ứng dụng hoặc nền tảng sử dụng ảo hóa cấp hệ điều hành để phân phối phần mềm dưới dạng các gói nhỏ được gọi là container. Các tác nhân đe dọa đằng sau hoạt động này đã triển khai hai trình cài đặt dựa trên Golang: một cái được đặt tên là "nginx" (cố ý ngụy trang thành phần mềm máy chủ web hợp pháp), và một cái khác được gọi là "cloud", là phần mềm đào thực tế để tạo ra Dero. Sau khi máy chủ bị tấn công, mô-đun nginx sẽ liên tục quét internet để tìm các nút Docker dễ bị tổn thương hơn và sử dụng các công cụ như Masscan để xác định mục tiêu và triển khai các container bị nhiễm mới. Để tránh bị phát hiện, nó sẽ mã hóa dữ liệu cấu hình, bao gồm địa chỉ ví và điểm cuối nút Dero, và che giấu mình dưới các đường dẫn mà phần mềm hệ thống hợp pháp thường sử dụng. Kaspersky phát hiện ra rằng cơ sở hạ tầng ví và nút được sử dụng trong các hoạt động crypto bị chiếm quyền sớm nhắm vào các cụm Kubernetes vào năm 2023 và 2024 là giống nhau, cho thấy đây là sự phát triển của một hoạt động đã biết, chứ không phải một mối đe dọa hoàn toàn mới.
