Recent heeft Unit 42, het threat intelligence team van Palo Alto Networks, nieuw onderzoek gepubliceerd naar een kwaadaardig Docker Hub-account dat zes kwaadaardige afbeeldingen bevatte om de cryptocurrency Monero te minen.
Docker Hub is een veelgebruikte opslagplaats voor de gebruikers van Docker, waarmee ze gratis beschikbare afbeeldingen van de Docker-applicatie tot hun beschikking hebben. Kwaadwillende actoren merkten de toegenomen populariteit op en gebruiken de tool om kwaadaardige afbeeldingen van Docker te hosten en zo op grote schaal te cryptojacken.
De belangrijkste bevindingen uit het onderzoek zijn:
- De aanvallers hebben tussen april en mei 2020 $36K gestolen: één van de accounts die door de aanvallers werd gebruikt, verdiende meer dan 525,38 XMR, wat ruwweg neerkomt op $36.000.
- Meerdere cryptojacking-methoden ingezet: de aanvallers gebruikten twee verschillende methoden om Monero te bemachtigen. Bij de eerste methode dienen ze de geminede blocks rechtstreeks in bij de centrale minexmr-pool met behulp van een wallet ID. De tweede methode maakte gebruik van een hosting service om hun eigen mining-pool te beheren, die vervolgens werd gebruikt om mining blocks te verzamelen.
- De Docker takedown: Het beveiligingsteam van Docker was in staat om de kwaadaardige afbeeldingen en het Docker Hub-account te verwijderen nadat dit door Unit 42 was gemeld, waardoor deze aanval werd stopgezet.