Docker представляет собой систему развертывания приложений, с поддержкой контейнеризации. Приложение со всем окружением можно упаковать в контейнер, которым легко и просто управлять: переносить на другой сервер, масштабировать или обновлять.
Червь, названный Graboid, инфицировал образ на Docker Hub, который злоумышленник установил на скомпрометированный хост. Далее вредоносное ПО распространялось по сети, выбирая жертву случайным образом из списков уязвимых хостов, периодически запрашиваемых у управляющих серверов.
Схема распространения червя Graboid. Источник: Palo Alto Networks
По данным специалистов Palo Alto Networks, скрытый майнер работает в среднем 63% времени, а периоды активности составляют 250 секунд. Майнинг контролируется на зараженных хостах случайным образом, и эксперты не смогли понять причину использования подобного механизма управления.
«Мотивация создания такого случайного механизма неясна. Это может быть результатом неудачного дизайна, методом уклонения от обнаружения (не очень эффективным), самодостаточной системой или преследовать какие-то другие цели», — пояснили исследователи.
Выявив более 2000 случаев злонамеренной активности Graboid, специалисты Palo Alto Networks связались с командой Docker для предотвращения распространения червя.
Напомним, ранее эксперты по кибербезопасности из Palo Alto Networks обнаружили трояна, ворующего у пользователей платформы Mac данные биткоин-кошельков.