Червен сигнал: Нов зловреден софтуер превръща Docker сървърите в крипто копачи!

Червен сигнал: Нов зловреден софтуер превръща Docker сървърите в крипто копачи!

Нова кампания за злонамерен софтуер е насочена конкретно към неправилно конфигурирани екземпляри на Docker API и ги използва за създаване на незаконна бот мрежа за копаене на криптовалутата Dero. Изследователи по сигурността в Kaspersky са открили, че неизвестен участник в заплаха използва уязвимости в несигурно публикувани API на Docker. Злонамереният софтуер показва подобни на червеи способности, които му позволяват да се разпространи в други копия на Docker, което го прави много по-лесно за разпространение. Компрометираните контейнери се използват за копаене на криптовалути и извършване на външни атаки.

Атаката се осъществява чрез два основни компонента: разпространяващ се злонамерен софтуер, който се маскира като легитимен уеб сървър на nginx и търси открити API на Docker, и миньор на криптовалута Dero. И двата компонента са разработени в Golang. Злонамереният софтуер регистрира своите дейности, стартира копача и генерира произволни IPv4 мрежови подмрежи, за да идентифицира допълнителни уязвими екземпляри на Docker. По-специално, насочени са екземпляри с отворен стандартен API порт 2375. В допълнение към деро копаене, способността на злонамерения софтуер да заразява базирани на Ubuntu контейнери също е тревожна.

Нетипичен подход на нападателите

Изследователите на киберсигурността в Trend Micro съобщават за „неортодоксален подход“ към тези атаки. Те откриха, че нападателите се насочват към уязвимите отдалечени API сървъри на Docker и използват gRPC протокола през h2c, за да заобиколят съществуващите решения за сигурност. Първо, нападателите проверяват наличността и версията на Docker API. След това те изпращат заявки за надграждане на връзката gRPC/h2c, за да манипулират функционалността на Docker и да внедрят своя полезен товар за копаене.

След надграждане на връзката може да се създаде контейнер, който ще се използва за копаене на криптовалута. Използва се SRBMiner, който се хоства на GitHub. Въпреки че SRBMiner в крайна сметка е предназначен за копаене на XRP токен, който е част от блокчейна на Ripple, важно е да се отбележи, че XRP е сечен токен и следователно не може да се копае. SRBMiner обаче използва и алгоритми като RandomX и KawPow, които могат да генерират токени като Monero, Ravencoin, Haven Protocol, Wownero и Firo. Смята се, че нападателите копаят предимно Monero, тъй като този токен е много търсен от киберпрестъпниците поради своите характеристики за поверителност и анонимност.

Препоръки за защита на Docker API сървъри

Експертите по сигурността на Trend Micro препоръчват защита на отдалечените API сървъри на Docker с по-силен контрол на достъпа и механизми за удостоверяване. Потребителите трябва редовно да наблюдават сървърите си за необичайна дейност и да прилагат най-добрите практики за защита на контейнерите. Тъй като тази кампания за злонамерен софтуер е в съответствие с подобна дейност, документирана по-рано от CrowdStrike през март 2023 г., от съществено значение е организациите да преразгледат и адаптират своите предпазни мерки за сигурност.

За повече информация относно текущите саморазпространяващи се заплахи за зловреден софтуер посетете IT Boltwise и TechRadar.