Es tut mir leid für das Missverständnis. Hier ist eine Zusammenfassung der Situation mit Docker-Hosts, die von XMRig und 9hits Viewer Malware betroffen sind, auf Deutsch:
Kürzlich wurde eine Malware-Kampagne entdeckt, die Docker-Hosts angreift. Dabei werden zwei Arten von Malware eingesetzt: der XMRig-Miner und die 9hits Viewer-Anwendung. Dies ermöglicht es Angreifern, gleichzeitig durch Kryptowährungs-Mining und die Generierung von falschem Website-Traffic zu profitieren.
Die 9hits Viewer-Anwendung ist Teil einer Web-Traffic-Austauschplattform, bei der Mitglieder durch das Besuchen anderer Websites Credits verdienen können. Die Malware nutzt die Ressourcen der kompromittierten Docker-Hosts, um für die Angreifer Credits auf der 9hits-Plattform zu generieren.
Der XMRig-Miner wird verwendet, um die Kryptowährung Monero zu schürfen, wobei die Rechenressourcen der infizierten Docker-Hosts genutzt werden. Der Miner verbindet sich mit einem privaten Mining-Pool, was es schwierig macht, die Größe und den Profit der Kampagne zu ermitteln.
Angreifer nutzen wahrscheinlich Netzwerk-Scanning-Tools wie Shodan, um anfällige Docker-Server zu identifizieren. Nachdem sie in diese Server eingedrungen sind, setzen sie über die Docker-API bösartige Container ein. Diese Container laden Standardbilder von Dockerhub herunter, einschließlich derer für die 9hits- und XMRig-Software, um unauffällig zu bleiben.
Der 9hits-Container führt ein Skript mit einem Sitzungstoken aus, das es ihm ermöglicht, sich zu authentifizieren und Credits für den Angreifer zu generieren. Die Angreifer haben die 9hits-App so konfiguriert, dass sie verschiedene Arten von Websites besucht, jedoch den Besuch von kryptowährungsbezogenen Seiten verhindert.
Der primäre Effekt dieser Kampagne auf kompromittierte Hosts ist eine erhebliche Ressourcenerschöpfung. Der XMRig-Miner verwendet intensiv alle verfügbaren CPU-Ressourcen, während die 9hits-Anwendung eine große Menge an Bandbreite und Speicher verbraucht, sodass für legitime Serverarbeiten kaum noch Ressourcen übrig bleiben. Dies führt zu einer deutlichen Leistungsminderung für legitime Dienste auf diesen infizierten Servern.
Es wird empfohlen, dass Einrichtungen, die Cloud-Computing-Umgebungen verwenden, robuste Sicherheitsmaßnahmen anwenden, einschließlich Zero-Trust-Modellen, Cloud Workload Protection Platforms (CWPP) und Cloud Security Posture Management (CSPM). Diese Tools können die Sichtbarkeit verbessern, Konfigurationen verwalten und exponierte Assets schützen, um das Risiko solcher Angriffe zu mindern.
Für detailliertere Informationen können Sie die folgenden Quellen besuchen:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: