10.09.2025
1 хв
524
Нова хвиля атак на відкриті Docker API, де нападники використовують Tor для приховування своєї активності та закладають базу для формування складного ботнету.
За даними Akamai, нападники ціляться на порт 2375, запускаючи контейнер із зміненим образом Alpine Linux. Усередині виконується зловмисний код, що надає Tor, вставляє SSH‑доступ, вставляє власні ключі до authorized_keys та створює cron‑роботи для блокування доступу до Docker API. Також встановлюються інструменти для широкомасштабного сканування, розповсюдження та обхіду захисту. Подальший етап включає завантаження Go‑бінарного файлу, здатного виявляти активних користувачів, поширювати інфекцію на інші хости та усунути конкурентні контейнери.
Перші випадки активності записала Trend Micro ще в червні, коли атаки зводилися до майнінгу криптовалют. Новіші спостереження показують еволюцію — замість простого майнера нападники тепер впроваджують багатокомпонентний зловмисний код із потенційними можливостями DDoS‑атак, крадіжки облікових даних і перехоплення браузерних сеансів. Це демонструє перехід від опортуністичного використання Docker до створення багатовекторної інфраструктури кіберзагроз.
Хоча дослідники ще не виявили повної версії ботнету, вже очевидно, що атаки стають більш системними й небезпечними. Використання Tor, автоматичне самопоширення та приховані модулі свідчать, що кіберзлочинці готуються до масштабнішої діяльності, що може торкнутися як компаній, так і звичайних користувачів.
