Контейнеры майнят без ведома админов: Dero заходит через Docker, а выходит с криптой
Вредоносный модуль маскируется под веб-сервер.
Киберпреступники развернули масштабную кампанию по заражению контейнерной инфраструктуры с помощью майнера Dero. По данным Лаборатории Касперского , для атаки используются открытые API Docker — интерфейсы, которые нередко остаются без должной защиты. Через них злоумышленники запускают вредоносные контейнеры с криптомайнером и встроенным сетевым червём, способным автоматически находить новые цели в сети.
Главная цель атаки — компании, использующие контейнеры без строгого контроля безопасности. Под удар попадают разработчики программного обеспечения, облачные провайдеры, хостинг-компании и другие организации. Согласно статистике Shodan, с января по апрель 2025 года в среднем ежемесячно обнаруживалось около 485 открытых Docker API, включая российские и региональные серверы.
Сценарий заражения включает поиск открытых API на порту 2375, запуск контейнера на базе легитимного образа Ubuntu и внедрение двух компонентов: cloud и nginx. Первый — это сам криптомайнер, второй — модуль, маскирующийся под веб-сервер и отвечающий за распространение. Заражённые контейнеры действуют автономно, без централизованного командного сервера, что позволяет им эффективно распространяться по сети.
Для обхода защиты применяются методы маскировки: названия вредоносных компонентов зашиты прямо в исполняемый файл и имитируют легитимные процессы. Такой подход снижает вероятность обнаружения автоматизированными системами и затрудняет ручной анализ.
По словам специалистов, контейнеры становятся ключевым элементом цифровой инфраструктуры — особенно в DevOps-практиках и микросервисных архитектурах. Это делает их приоритетной целью для атак. Если не принять своевременных мер, каждый заражённый контейнер может стать точкой распространения угроз внутри корпоративной сети.
Рекомендовано оперативно проверить инфраструктуру на наличие открытых API-интерфейсов, ограничить их доступ или защитить с помощью безопасных протоколов. Также важно внедрять меры раннего обнаружения атак и реагирования, включая внешний аудит и регулярный анализ признаков компрометации, особенно в условиях нехватки внутренних ресурсов в области ИБ.