Home » News » Cybersecurity » Neue Malware-Kampagne zielt auf offene Docker-Umgebungen

Getarnter Angriff:: Neue Malware-Kampagne zielt auf offene Docker-Umgebungen

Eine neu entdeckte Cyberkampagne nutzt schwach gesicherte Docker-APIs als Einfallstor in containerisierte Infrastrukturen. Mit raffiniert getarnten Malware-Komponenten übernehmen die Angreifer Containerumgebungen, schürfen Kryptowährungen – und nutzen kompromittierte Systeme als Sprungbrett für weitere Attacken. Die potenzielle Ausbreitung ist enorm.

·

Redaktion IT-SICHERHEIT (cs)

2 Min. Lesezeit
Malware-Attacke
Foto: ©AdobeStock/Pixel Town

Sobald Cyberkriminelle eine öffentlich zugängliche Docker-API entdecken, setzen sie gezielt auf einen simplen, aber effektiven Angriffsweg: Sie kompromittieren entweder bereits laufende Container oder starten neue, manipulierte Container basierend auf einem unverdächtigen Ubuntu-Image. Die Methode wirkt unspektakulär – doch die eingeschleusten Schadprogramme sind hochfunktional und gefährlich.

Zwei Schadkomponenten, ein Ziel

In den kompromittierten Containern platzieren die Angreifer zwei unterschiedliche Malware-Module:

  • cloud: Ein Kryptominer für die weniger bekannte Kryptowährung Dero
  • „nginx“: Eine Schadsoftware zur Absicherung des Zugriffs, Koordination der Miner-Ausführung und zur weiteren Verbreitung

Die Wahl der Namen ist dabei kein Zufall. Durch die Benennung nach gängigen Tools wie „nginx“ und „cloud“ tarnen die Angreifer ihre Malware – eine gängige Taktik, um Sicherheitsanalysen und automatisierte Erkennungsmechanismen zu umgehen.

Besonders tückisch: Die Angreifer verzichten auf klassische Command-and-Control-Infrastruktur. Stattdessen agiert jeder infizierte Container eigenständig – er durchsucht das Internet nach weiteren verwundbaren Docker-APIs und kann so selbstständig neue Ziele kompromittieren.

Ein weltweites Problem – auch Deutschland betroffen

Die Sicherheitsforscher von Kaspersky entdeckten die Kampagne im Rahmen eines Kompromittierungsbewertungsprojekts. Ihre Analyse zeigt: Jedes Unternehmen, das Container nutzt und seine Docker-APIs nicht ausreichend schützt, ist potenziell angreifbar. Betroffen sein können Technologieanbieter, Softwarefirmen, Hosting-Dienstleister, Cloud-Plattformen und viele weitere Branchen.

Laut Shodan werden im Jahr 2025 monatlich weltweit durchschnittlich 485 Docker-API-Endpunkte öffentlich zugänglich gemacht. Die meisten davon in:

  • China (138 pro Monat)
  • Deutschland (97)
  • Vereinigte Staaten (58)
  • Brasilien (16)
  • Singapur (13)

Die Zahlen belegen: Die Angriffsfläche ist real – und global.

Exponentielle Ausbreitung durch seitliche Bewegungen

„Die Kampagne birgt erhebliches Potenzial für exponentielle Ausbreitung“, warnt Amged Wageh, Experte für Incident Response bei Kaspersky. „Jeder kompromittierte Container kann zur neuen Angriffsquelle werden, wenn betroffene Netzwerke nicht sofort reagieren.“

Container sind das Rückgrat moderner IT-Infrastrukturen: Sie sind aus DevOps, Cloud-nativen Umgebungen und Microservices-Architekturen nicht mehr wegzudenken. Gerade diese zentrale Rolle macht sie zu einem bevorzugten Ziel für Cyberkriminelle.

Kaspersky: So schützen Unternehmen ihre Container-Umgebungen

Damit containerisierte Infrastrukturen nicht zum Einfallstor für Cyberangriffe werden, empfiehlt Kaspersky folgende Schutzmaßnahmen – verständlich zusammengefasst:

  • Docker-APIs nur wenn nötig veröffentlichen: Unternehmen sollten genau prüfen, ob eine öffentliche Docker-API wirklich erforderlich ist. Ist dies der Fall, sollte sie unbedingt abgesichert werden – idealerweise über verschlüsselte Verbindungen mit TLS.
  • Angriffsversuche frühzeitig erkennen: Sicherheitsüberprüfungen und Kompromittierungsbewertungen helfen dabei, aktive oder bislang unentdeckte Angriffe zu identifizieren, bevor sie größeren Schaden anrichten.
  • Sicherheitslösungen speziell für Container einsetzen: Diese schützen containerisierte Anwendungen über den gesamten Lebenszyklus hinweg – von der Entwicklung bis zum Betrieb.
  • Managed Security Services nutzen: Externe Sicherheitsexperten können Unternehmen durchgehend unterstützen – von der ersten Bedrohungserkennung über die Reaktion auf Sicherheitsvorfälle bis hin zur langfristigen Absicherung der Systeme.

Die Kampagne zeigt einmal mehr, wie wichtig es ist, Sicherheitsaspekte nicht erst nachträglich zu berücksichtigen. Unternehmen sollten Docker-APIs niemals ungeschützt ins Internet stellen, sondern durch Authentifizierung, Zugriffskontrolle und Netzwerksegmentierung absichern.

Weitere Artikel zum Thema: 

Bilder des neuen Super-Weltraumteleskops mitunter Malware-verseucht

Container-Images weisen oft hochriskante Schwachstellen auf

Weltweite Malware-Attacke: Smartphones unter Beschuss, Bankkonten in Gefahr

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante News

Risiken KI-gestützter Prozesse

Warum autonome KI-Berechtigungen hochriskant sind

Ein KI-Agent löscht eine Produktionsdatenbank samt aktueller Backups. Der Fall zeigt drastisch, warum Unternehmen autonome Systeme nicht nur über Regeln steuern dürfen, sondern übe...

Security Management
World Passwort Day Illustration mit verschiedenen Symbolen

Passwörter wechseln reicht nicht mehr

Zum Welt-Passwort-Tag am 7. Mai rückt eine unbequeme Wahrheit in den Fokus: Nicht jedes Passwortproblem lässt sich durch ein neues Passwort lösen. Entscheidend sind starke Schutzsc...

Cybersecurity
Roboterhand greift nach Schloss mit Cybersecurity-Symbol. Im Hintergrund bedrohliches Glühen

Die neuen Werte in der Rechnung für Cybersicherheit

Künstliche Intelligenz verschiebt die Ökonomie der Schwachstellenforschung. GPT-5.4-Cyber, GPT-5.5 und Claude Mythos zeigen: Nicht das Finden von Lücken ist der Engpass, sondern ih...

Cybersecurity