Suche öffnen Suche Mein ECHO Mein Konto

Rød advarsel: Ny malware forvandler Docker-servere til kryptominere!

Transparenz: Redaktionell erstellt und geprüft.
Veröffentlicht am
ImpressumRedaktionMediadaten

Ny Malware-kampagne bruger Insecure Docker API'er til Cryptojacking, Targets Dero og Monero. Sikkerhedsforskere advarer!

Neue Malware-Kampagne nutzt unsichere Docker-APIs zum Kryptojacking, zielt auf Dero und Monero ab. Sicherheitsforscher warnen!
Ny Malware-kampagne bruger Insecure Docker API'er til Cryptojacking, Targets Dero og Monero. Sikkerhedsforskere advarer!

En ny malware-kampagne retter sig specifikt mod fejlkonfigurerede Docker API-instanser og bruger dem til at skabe et ulovligt bot-netværk til minedrift af kryptovalutaen Dero. Sikkerhedsforskere hos Kaspersky har opdaget, at en ukendt trusselsaktør udnytter sårbarheder i usikkert offentliggjorte Docker API'er. Malwaren udviser orm-lignende egenskaber, der tillader den at sprede sig selv til andre Docker-forekomster, hvilket gør det meget lettere at sprede. Kompromitterede containere bruges til at mine kryptovalutaer og udføre eksterne angreb.

Angrebet sker gennem to hovedkomponenter: en spredende malware, der forklæder sig som en legitim nginx-webserver og leder efter udsatte Docker API'er, og Dero cryptocurrency miner. Begge komponenter er udviklet i Golang. Malwaren logger sine aktiviteter, starter minearbejderen og genererer tilfældige IPv4-netværksundernet for at identificere yderligere sårbare Docker-forekomster. Især målrettes instanser med standard API-port 2375 åben. Ud over dero-mining er malwarens evne til at inficere Ubuntu-baserede containere også alarmerende.

Atypisk tilgang af angriberne

Cybersikkerhedsforskere hos Trend Micro rapporterer om en "uortodoks tilgang" til disse angreb. De opdagede, at angribere retter sig mod sårbare Docker-fjern-API-servere og udnytter gRPC-protokollen over h2c til at omgå eksisterende sikkerhedsløsninger. Først tjekker angriberne tilgængeligheden og versionen af ​​Docker API. De sender derefter anmodninger om at opgradere gRPC/h2c-forbindelsen for at manipulere Docker-funktionalitet og implementere deres minedrift.

Efter opgradering af forbindelsen, kan der oprettes en container, der vil blive brugt til cryptocurrency mining. SRBMiner bruges, som hostes på GitHub. Selvom SRBMiner i sidste ende er beregnet til at udvinde XRP-tokenet, som er en del af Ripple-blokkæden, er det vigtigt at bemærke, at XRP er et præget token og derfor ikke kan udvindes. SRBMiner bruger dog også algoritmer som RandomX og KawPow, som kan generere tokens som Monero, Ravencoin, Haven Protocol, Wownero og Firo. Det menes, at angribere primært mine Monero, da dette token er meget eftertragtet af cyberkriminelle på grund af dets privatliv og anonymitetsfunktioner.

Anbefalinger til sikring af Docker API-servere

Trend Micro-sikkerhedseksperter anbefaler at sikre Docker-fjern-API-servere med stærkere adgangskontroller og godkendelsesmekanismer. Brugere bør regelmæssigt overvåge deres servere for usædvanlig aktivitet og implementere bedste praksis for at beskytte containere. Fordi denne malware-kampagne er i overensstemmelse med lignende aktivitet, der tidligere blev dokumenteret af CrowdStrike i marts 2023, er det vigtigt, at organisationer genovervejer og tilpasser deres sikkerhedsforanstaltninger.

For mere information om aktuelle selvudbredende malware-trusler, besøg IT Boltwise og TechRadar.

Quellen:

Weitersagen oder Speichern

Das Neueste

Krypto-news

Dorseys Vision: Bitcoin als Zahlungsmittel für alle bis 2026!

Wirtschaftspolitik

Alarmstimmung für Deutschland: IWF prognostiziert Wachstumsflaute!

Immobilien

CBRE unter Druck: Immobilienbranche kämpft mit Unsicherheit und Wandel

Investitionen

IGBCE unterstützt SPD: Superreiche sollen für Krisenbewältigung zahlen!

Krypto-news

Newcastle United startet Krypto-Revolution mit BYDFi-Partnerschaft!