تنبيه أحمر: برامج ضارة جديدة تحول خوادم Docker إلى عمال مناجم تشفير!

تنبيه أحمر: برامج ضارة جديدة تحول خوادم Docker إلى عمال مناجم تشفير!

تستهدف حملة برامج ضارة جديدة على وجه التحديد مثيلات Docker API التي تم تكوينها بشكل خاطئ وتستخدمها لإنشاء شبكة روبوت غير قانونية لتعدين العملة المشفرة Dero. اكتشف باحثون أمنيون في Kaspersky أن جهة تهديد غير معروفة تستغل الثغرات الأمنية في واجهات Docker API المنشورة بشكل غير آمن. تُظهر البرامج الضارة إمكانات شبيهة بالديدان تسمح لها بالانتشار إلى مثيلات Docker الأخرى، مما يجعل انتشارها أسهل بكثير. تُستخدم الحاويات المخترقة لتعدين العملات المشفرة وتنفيذ هجمات خارجية.

يحدث الهجوم من خلال مكونين رئيسيين: برنامج ضار منتشر يتنكر كخادم ويب nginx شرعي ويبحث عن واجهات برمجة تطبيقات Docker المكشوفة، وأداة تعدين العملات المشفرة Dero. تم تطوير كلا المكونين في Golang. تسجل البرامج الضارة أنشطتها، وتبدأ عملية التعدين، وتنشئ شبكات فرعية عشوائية لشبكة IPv4 لتحديد مثيلات Docker الإضافية المعرضة للخطر. على وجه الخصوص، يتم استهداف المثيلات ذات منفذ API القياسي 2375 المفتوح. بالإضافة إلى تعدين ديرو، فإن قدرة البرامج الضارة على إصابة الحاويات المستندة إلى Ubuntu أمر مثير للقلق أيضًا.

نهج غير عادي من قبل المهاجمين

أفاد باحثو الأمن السيبراني في Trend Micro عن "نهج غير تقليدي" لهذه الهجمات. واكتشفوا أن المهاجمين يستهدفون خوادم Docker Remote API الضعيفة ويستفيدون من بروتوكول gRPC عبر h2c لتجاوز حلول الأمان الحالية. أولاً، يتحقق المهاجمون من توفر Docker API وإصدارها. ثم يرسلون بعد ذلك طلبات لترقية اتصال gRPC/h2c من أجل معالجة وظائف Docker وتنفيذ حمولة التعدين الخاصة بهم.

بعد ترقية الاتصال، يمكن إنشاء حاوية لاستخدامها في تعدين العملات المشفرة. يتم استخدام SRBMiner، والذي يتم استضافته على GitHub. على الرغم من أن SRBMiner يهدف في النهاية إلى تعدين رمز XRP، والذي يعد جزءًا من Ripple blockchain، فمن المهم ملاحظة أن XRP هو رمز مميز وبالتالي لا يمكن تعدينه. ومع ذلك، يستخدم SRBMiner أيضًا خوارزميات مثل RandomX وKawPow، والتي يمكنها إنشاء رموز مميزة مثل Monero وRavencoin وHaven Protocol وWownero وFiro. من المعتقد أن المهاجمين يقومون في المقام الأول بتعدين عملة Monero، حيث أن هذا الرمز المميز مطلوب بشدة من قبل مجرمي الإنترنت بسبب ميزات الخصوصية وعدم الكشف عن هويته.

توصيات لتأمين خوادم Docker API

يوصي خبراء الأمن في Trend Micro بتأمين خوادم Docker Remote API باستخدام عناصر تحكم وصول وآليات مصادقة أقوى. يجب على المستخدمين مراقبة خوادمهم بانتظام بحثًا عن أي نشاط غير عادي وتنفيذ أفضل الممارسات لحماية الحاويات. نظرًا لأن حملة البرامج الضارة هذه تتوافق مع نشاط مماثل تم توثيقه مسبقًا بواسطة CrowdStrike في مارس 2023، فمن الضروري أن تعيد المؤسسات النظر في احتياطاتها الأمنية وتكيفها.

لمزيد من المعلومات حول تهديدات البرامج الضارة الحالية ذاتية النشر، تفضل بزيارة تكنولوجيا المعلومات بولتوايز و تك رادار.