Verwundbare Docker-Dienste werden von einer neuen Kampagne ins Visier genommen, bei der die Angreifer die Kryptowährungsminer XMRig und die Software 9Hits Viewer einsetzen, um ihre Geldsammelstrategie zu maximieren. Die Cloud-Sicherheitsfirma Cado bezeichnet dies als den ersten dokumentierten Fall, in dem Malware die 9Hits-Anwendung als Payload einsetzt. Dies ist ein Zeichen dafür, dass Angreifer immer auf der Suche nach Möglichkeiten sind, ihre Strategien zur Geldgewinnung durch kompromittierte Hosts zu diversifizieren.
9Hits wirbt damit, eine „einzigartige Lösung für Web-Traffic“ und einen „automatischen Traffic-Austausch“ zu bieten. Mitglieder des Dienstes können mithilfe der 9Hits Viewer-Software den Traffic auf ihre Websites erhöhen, indem sie Credits kaufen. Dafür wird eine headless Chrome-Browserinstanz ausgeführt, um von anderen Mitgliedern angeforderte Websites zu besuchen, für die sie dann Credits erhalten, um Traffic auf ihre eigenen Websites zu generieren.
Die genaue Methode, mit der sich die Malware auf verwundbaren Docker-Hosts verbreitet, ist noch unklar, es wird jedoch vermutet, dass Suchmaschinen wie Shodan eingesetzt werden, um potenzielle Ziele zu finden. Die Server werden dann kompromittiert, um über die Docker API zwei bösartige Container bereitzustellen und vorgefertigte Images aus der Docker Hub-Bibliothek für die 9Hits- und XMRig-Software abzurufen. Dies ist ein gängiger Angriffsvektor für Docker-Kampagnen, bei dem statt eines maßgeschneiderten Images ein generisches Image von Dockerhub verwendet wird, das fast immer zugänglich ist und für ihre Zwecke genutzt wird.
Der 9Hits-Container wird verwendet, um Code zur Generierung von Credits für den Angreifer auszuführen, indem er sich mit 9Hits authentifiziert, ihren Session-Token verwendet und die Liste der zu besuchenden Websites extrahiert. Die Angreifer haben die Kampagne auch so konfiguriert, dass sie erwachsene Websites oder Websites mit Pop-ups besuchen kann, jedoch nicht kryptowährungsbezogene Websites.
Der andere Container wird verwendet, um einen XMRig-Miner auszuführen, der sich mit einem privaten Mining-Pool verbindet und somit die Skalierbarkeit und Rentabilität der Kampagne verbirgt. Die Hauptauswirkung dieser Kampagne auf kompromittierte Hosts besteht darin, dass es zu einer Ressourcenüberlastung kommt, da der XMRig-Miner alle verfügbaren CPU-Ressourcen nutzt und 9Hits eine große Menge an Bandbreite, Speicher und verbleibender CPU verwendet. Dies führt dazu, dass legitime Arbeitslasten auf infizierten Servern nicht wie erwartet ausgeführt werden können. Zusätzlich könnte die Kampagne aktualisiert werden, um eine entfernte Shell auf dem System zu hinterlassen und möglicherweise einen schwerwiegenderen Verstoß zu verursachen.