Os atacantes estão a tentar reunir uma série de máquinas hospedadas no Docker e aproveitar os seus recursos numa campanha de mineração de moedas. Este ataque é efetuado através das imagens Docker que se autopropagam infetadas com o monero. Este tipo de ataque foi descoberto depois de os investigadores terem simulado um host do Docker com uma API exposta.

Tecnicamente, os atacantes procuram a porta 2375 aberta e lançam mais containers infetados para o host, depois de aplicarem a "força-bruta".

Estas API expostas permitem que os atacantes executem comandos nos hosts Docker, e que depois leva-os a conseguirem gerir os containers e lançar imagens afetadas de um repositório Docker por eles controlado.

Também se sabe que, pela análise dos logs e tráfego, que o repositório usado pelos hackers designa-se por "zoolu2", e que o repositório possui nove imagens com shells customizadas, scripts em Python, ficheiros de configuração e binários respeitantes a criptomoedas. Enquanto os atacantes analisam ou fazem a varredura de hosts Docker para comprometerem, um binário do Monero é lançado e executado em background.

Assim que um host Docker é descoberto, vai para uma lista e depois os atacantes ordenam os IP's, eliminando duplicados; essa lista depois segue para servidores C&C para depois serem lançados containers adicionais.

Fonte: https://blog.trendmicro.com/trendlabs-security-intelligence/infected-cryptocurrency-mining-containers-target-docker-hosts-with-exposed-apis-use-shodan-to-find-additional-victims/