برمجية خبيثة ذاتية الانتشار تصيب حاويات Docker لتعدين عملة Dero
التاريخ: 27 مايو 2025 | بقلم:المايسترو نيرو
حذّرت شركة Kaspersky من حملة هجومية جديدة تستهدف واجهات Docker API المكشوفة، حيث تقوم البرمجية الخبيثة بتحويل تلك الحاويات إلى شبكة روبوتات لتعدين العملة الرقمية Dero، وتتميز بقدرتها على الانتشار الذاتي دون تدخل بشري.
آلية الهجوم
يبدأ المهاجم بالوصول إلى بيئة Docker غير مؤمنة عبر منفذ 2375 المفتوح. بعد ذلك، يتم تثبيت مكونين:
- 🔹 ملف "nginx" لنشر العدوى.
- 🔹 ملف "cloud" لتشغيل برنامج تعدين Dero.
تم تطوير المكونين باستخدام لغة Golang، ويُستخدم اسم "nginx" للتخفي على هيئة خادم ويب شرعي.
كيف ينتشر الفيروس؟
يقوم "nginx" بفحص عناوين IPv4 عشوائية للعثور على حاويات Docker معرضة للخطر، ويحاول الاتصال بها. عند النجاح، يتم إنشاء حاوية جديدة باسم عشوائي، ثم تثبيت أدوات مثل:
- masscan: للبحث عن المزيد من الضحايا.
- docker.io: للتفاعل مع بيئة Docker.
يتم بعدها نسخ الملفات الضارة إلى المسار /usr/bin/ داخل الحاوية، وضمان تشغيل البرمجية تلقائيًا عند الدخول إلى الشل عن طريق تعديل ملف .bash_aliases.
أهداف الهجوم
الهدف الأساسي من الحملة هو استخدام موارد الضحايا في تعدين عملة Dero باستخدام أداة مفتوحة المصدر DeroHE CLI المتاحة على GitHub.
العلاقة بحملات سابقة
ترى Kaspersky أن هذا النشاط مرتبط بحملات مشابهة وثقتها CrowdStrike في مارس 2023 وWiz في يونيو 2024، حيث تم استهداف بيئات Kubernetes بطريقة مماثلة وبنفس عناوين محفظة Dero المستخدمة.
لا وجود لخادم C2
البرمجية تنتشر بدون استخدام خادم تحكم وتحكم مركزي (C2)، مما يجعل من الصعب تتبعها. أي بيئة تحتوي على Docker API غير مؤمنة تعتبر هدفًا محتملاً.
حملة برمجيات تعدين Monero
بالتزامن، كشفت AhnLab عن حملة مختلفة تستخدم برنامج تعدين Monero إلى جانب باب خلفي جديد يستخدم بروتوكول PyBitmessage، وهو بروتوكول اتصال P2P يتيح إرسال أوامر مشفّرة تُنفذ كسكريبتات PowerShell.
توصيات أمنية:
- لا تترك Docker API مكشوفًا على الإنترنت.
- استخدم جدران نارية لتقييد الوصول.
- راقب حركة المرور الصادرة من الحاويات.
- لا تثق في البرامج المقرصنة أو مصادر التحميل المجهولة.