Κόκκινη ειδοποίηση: Νέο κακόβουλο λογισμικό μετατρέπει τους διακομιστές Docker σε εξορύκτες κρυπτογράφησης!

Κόκκινη ειδοποίηση: Νέο κακόβουλο λογισμικό μετατρέπει τους διακομιστές Docker σε εξορύκτες κρυπτογράφησης!

Μια νέα καμπάνια κακόβουλου λογισμικού στοχεύει συγκεκριμένα παρουσίες Docker API που δεν έχουν διαμορφωθεί σωστά και τις χρησιμοποιεί για να δημιουργήσει ένα παράνομο δίκτυο bot για την εξόρυξη του κρυπτονομίσματος Dero. Οι ερευνητές ασφαλείας της Kaspersky ανακάλυψαν ότι ένας άγνωστος παράγοντας απειλής εκμεταλλεύεται ευπάθειες σε μη ασφαλώς δημοσιευμένα Docker API. Το κακόβουλο λογισμικό εμφανίζει δυνατότητες τύπου worm που του επιτρέπουν να εξαπλωθεί σε άλλες περιπτώσεις Docker, καθιστώντας πολύ πιο εύκολη τη διάδοσή του. Τα παραβιασμένα κοντέινερ χρησιμοποιούνται για την εξόρυξη κρυπτονομισμάτων και την πραγματοποίηση εξωτερικών επιθέσεων.

Η επίθεση λαμβάνει χώρα μέσω δύο βασικών στοιχείων: ενός εξαπλούμενου κακόβουλου λογισμικού που μεταμφιέζεται ως νόμιμος διακομιστής ιστού nginx και αναζητά εκτεθειμένα API Docker και του εξορύκτη κρυπτονομισμάτων Dero. Και τα δύο συστατικά έχουν αναπτυχθεί στο Golang. Το κακόβουλο λογισμικό καταγράφει τις δραστηριότητές του, ξεκινά το miner και δημιουργεί τυχαία υποδίκτυα δικτύου IPv4 για τον εντοπισμό πρόσθετων ευάλωτων περιπτώσεων Docker. Συγκεκριμένα, στοχεύονται περιπτώσεις με ανοιχτή τυπική θύρα API 2375. Εκτός από το dero mining, η ικανότητα του κακόβουλου λογισμικού να μολύνει κοντέινερ που βασίζονται στο Ubuntu είναι επίσης ανησυχητική.

Άτυπη προσέγγιση από τους επιτιθέμενους

Ερευνητές κυβερνοασφάλειας στο Trend Micro αναφέρουν μια «ανορθόδοξη προσέγγιση» σε αυτές τις επιθέσεις. Ανακάλυψαν ότι οι εισβολείς στοχεύουν ευάλωτους διακομιστές API απομακρυσμένων Docker και αξιοποιούν το πρωτόκολλο gRPC μέσω h2c για να παρακάμψουν τις υπάρχουσες λύσεις ασφαλείας. Αρχικά, οι εισβολείς ελέγχουν τη διαθεσιμότητα και την έκδοση του Docker API. Στη συνέχεια στέλνουν αιτήματα για την αναβάθμιση της σύνδεσης gRPC/h2c προκειμένου να χειριστούν τη λειτουργικότητα του Docker και να εφαρμόσουν το ωφέλιμο φορτίο εξόρυξης.

Μετά την αναβάθμιση της σύνδεσης, μπορεί να δημιουργηθεί ένα κοντέινερ που θα χρησιμοποιηθεί για την εξόρυξη κρυπτονομισμάτων. Χρησιμοποιείται το SRBMiner, το οποίο φιλοξενείται στο GitHub. Αν και το SRBMiner προορίζεται τελικά για την εξόρυξη του διακριτικού XRP, το οποίο αποτελεί μέρος της αλυσίδας μπλοκ Ripple, είναι σημαντικό να σημειωθεί ότι το XRP είναι ένα διακριτικό κοπής και επομένως δεν μπορεί να εξορυχθεί. Ωστόσο, το SRBMiner χρησιμοποιεί επίσης αλγόριθμους όπως οι RandomX και KawPow, οι οποίοι μπορούν να δημιουργήσουν μάρκες όπως Monero, Ravencoin, Haven Protocol, Wownero και Firo. Πιστεύεται ότι οι εισβολείς εξορύσσουν κυρίως το Monero, καθώς αυτό το διακριτικό είναι ιδιαίτερα περιζήτητο από τους εγκληματίες του κυβερνοχώρου λόγω των χαρακτηριστικών απορρήτου και ανωνυμίας του.

Προτάσεις για την ασφάλεια των διακομιστών Docker API

Οι ειδικοί ασφαλείας της Trend Micro συνιστούν την ασφάλεια των απομακρυσμένων διακομιστών API Docker με ισχυρότερους ελέγχους πρόσβασης και μηχανισμούς ελέγχου ταυτότητας. Οι χρήστες θα πρέπει να παρακολουθούν τακτικά τους διακομιστές τους για ασυνήθιστη δραστηριότητα και να εφαρμόζουν βέλτιστες πρακτικές για την προστασία των κοντέινερ. Επειδή αυτή η καμπάνια κακόβουλου λογισμικού συνάδει με παρόμοια δραστηριότητα που είχε προηγουμένως τεκμηριωθεί από το CrowdStrike τον Μάρτιο του 2023, είναι σημαντικό οι οργανισμοί να επανεξετάσουν και να προσαρμόσουν τις προφυλάξεις ασφαλείας τους.

Για περισσότερες πληροφορίες σχετικά με τις τρέχουσες απειλές κακόβουλου λογισμικού που διαδίδονται μόνοι σας, επισκεφθείτε IT Boltwise και TechRadar.