Suche
Mein Konto
Červené upozornění: Nový malware promění servery Docker v těžaře kryptoměn!
Nová kampaň proti malwaru používá nezabezpečená rozhraní API pro Docker pro Cryptojacking, cíle Dero a Monero. Bezpečnostní výzkumníci varují!
Červené upozornění: Nový malware promění servery Docker v těžaře kryptoměn!
Nová malwarová kampaň se konkrétně zaměřuje na nesprávně nakonfigurované instance API Docker a využívá je k vytvoření nelegální sítě botů pro těžbu kryptoměny Dero. Bezpečnostní výzkumníci z Kaspersky zjistili, že neznámý aktér hrozeb využívá zranitelnosti v nezabezpečeně publikovaných Docker API. Malware vykazuje schopnosti podobné červům, které mu umožňují šířit se do dalších instancí Dockeru, takže jeho šíření je mnohem snazší. Kompromitované kontejnery se používají k těžbě kryptoměn a provádění externích útoků.
K útoku dochází prostřednictvím dvou hlavních komponent: šířícího se malwaru, který se vydává za legitimní webový server nginx a hledá odhalená rozhraní Docker API, a těžař kryptoměn Dero. Obě komponenty jsou vyvinuty v Golangu. Malware zaznamenává své aktivity, spouští těžař a generuje náhodné síťové podsítě IPv4 k identifikaci dalších zranitelných instancí Dockeru. Cíleny jsou zejména instance se standardním otevřeným portem API 2375. Kromě dero těžby je alarmující také schopnost malwaru infikovat kontejnery založené na Ubuntu.
Atypický přístup útočníků
Výzkumníci kybernetické bezpečnosti ze společnosti Trend Micro hlásí k těmto útokům „neortodoxní přístup“. Zjistili, že útočníci se zaměřují na zranitelné vzdálené servery API Docker a využívají protokol gRPC přes h2c k obcházení stávajících bezpečnostních řešení. Nejprve útočníci zkontrolují dostupnost a verzi Docker API. Poté zasílají požadavky na upgrade připojení gRPC/h2c, aby mohli manipulovat s funkčností Dockeru a implementovat své těžební zatížení.
Po upgradu připojení lze vytvořit kontejner, který bude sloužit pro těžbu kryptoměn. Používá se SRBMiner, který je hostován na GitHubu. Přestože je SRBMiner v konečném důsledku určen pro těžbu tokenu XRP, který je součástí blockchainu Ripple, je důležité si uvědomit, že XRP je ražený token, a proto jej nelze těžit. SRBMiner však také používá algoritmy jako RandomX a KawPow, které mohou generovat tokeny jako Monero, Ravencoin, Haven Protocol, Wownero a Firo. Předpokládá se, že útočníci těží především Monero, protože tento token je velmi vyhledávaný kyberzločinci kvůli jeho soukromí a funkcím anonymity.
Doporučení pro zabezpečení serverů Docker API
Bezpečnostní experti Trend Micro doporučují zabezpečit vzdálené servery API Docker pomocí silnější kontroly přístupu a ověřovacích mechanismů. Uživatelé by měli na svých serverech pravidelně sledovat neobvyklou aktivitu a implementovat osvědčené postupy k ochraně kontejnerů. Protože tato malwarová kampaň je v souladu s podobnou aktivitou, kterou dříve zdokumentoval CrowdStrike v březnu 2023, je nezbytné, aby organizace přehodnotily a přizpůsobily svá bezpečnostní opatření.
Další informace o aktuálních hrozbách malwaru, které se šíří, naleznete na adrese IT Boltwise a TechRadar.