Il team Akamai Hunt ha individuato una campagna malware che prende di mira le API Docker esposte su Internet, segnando un salto di qualità rispetto alle precedenti ondate di attacchi. La scoperta, annunciata pochi mesi dopo la prima segnalazione di Trend Micro, mostra come la minaccia si stia rapidamente evolvendo da semplici operazioni di cryptomining verso scenari più complessi e pericolosi.
Le funzioni del malware
Il malware, inizialmente noto per distribuire cryptominer nascosti dietro la rete Tor, è stato arricchito con nuove funzionalità che puntano alla persistenza e al controllo esclusivo dei sistemi compromessi. Una delle tattiche più insidiose consiste nel blocco automatico della porta 2375, utilizzata dalle API Docker, impedendo così ad altri attaccanti di accedere alla stessa macchina infetta. In questo modo i criminali si garantiscono un monopolio sull’infrastruttura violata.
Le analisi di Akamai hanno rivelato un arsenale ben più ampio: il malware installa strumenti di scansione come masscan per individuare altri host vulnerabili, tenta l’exploit su porte aggiuntive – tra cui Telnet (23) e il debugger remoto di Chrome (9222) – e mantiene comunicazioni con server occulti attraverso la rete Tor. Tutti indizi che lasciano ipotizzare la costruzione di una botnet con capacità offensive avanzate, non più limitata al solo mining di criptovalute.
La campagna mette in evidenza un trend preoccupante: gli attacchi contro container e infrastrutture cloud-native non sono più episodi isolati, ma rappresentano un vettore privilegiato per gruppi cybercriminali alla ricerca di risorse scalabili e difficili da monitorare. L’esposizione di API non protette su Internet rimane infatti uno degli errori di configurazione più comuni e sfruttati.
Le contromisure da adottare
Per mitigare i rischi, Akamai raccomanda alcune contromisure fondamentali. Prima di tutto, segmentare la rete e isolare i servizi Docker dai front-end accessibili pubblicamente. È altrettanto importante limitare l’accesso da internet ai soli servizi realmente indispensabili, rafforzare l’autenticazione con password robuste (evitando quelle predefinite) e monitorare con particolare attenzione le porte sensibili come la 9222 di Chrome, spesso trascurata ma estremamente esposta.
L’attività del team Hunt dimostra quanto la threat intelligence basata su honeypot e scenari reali sia cruciale per anticipare le mosse degli attaccanti. Grazie alla sua rete globale di sensori distribuiti, Akamai riesce a intercettare tempestivamente le nuove tecniche e a condividerle con la comunità di sicurezza.
La società ha confermato che continuerà a monitorare la campagna e a pubblicare aggiornamenti sui propri canali ufficiali, con particolare attenzione all’evoluzione delle strategie di persistenza e propagazione. L’invito rivolto alle organizzazioni è chiaro: non sottovalutare le API esposte e adottare da subito pratiche di hardening e monitoraggio costante.
Leggi anche: “Grave vulnerabilità in Docker“
The post Server Docker sotto attacco! first appeared on Hackerjournal.it.