Suche
Mein Konto
Punane hoiatus: uus pahavara muudab Dockeri serverid krüptokaevuriteks!
Uus pahavarakampaania kasutab Cryptojacking, Targets Dero ja Monero jaoks ebaturvalisi Dockeri API-sid. Turvateadlased hoiatavad!
Punane hoiatus: uus pahavara muudab Dockeri serverid krüptokaevuriteks!
Uus pahavarakampaania sihib konkreetselt valesti konfigureeritud Docker API eksemplare ja kasutab neid ebaseadusliku robotivõrgu loomiseks krüptovaluuta Dero kaevandamiseks. Kaspersky turbeuurijad avastasid, et tundmatu ohutegija kasutab ebaturvaliselt avaldatud Dockeri API-de turvaauke. Pahavaral on ussilaadsed võimalused, mis võimaldavad sellel levida teistele Dockeri eksemplaridele, muutes selle levitamise palju lihtsamaks. Ohustatud konteinereid kasutatakse krüptovaluutade kaevandamiseks ja väliste rünnakute läbiviimiseks.
Rünnak toimub kahe põhikomponendi kaudu: leviv pahavara, mis maskeerub seaduslikuks nginxi veebiserveriks ja otsib avatud Dockeri API-sid, ja Dero krüptovaluuta kaevandaja. Mõlemad komponendid on välja töötatud Golangis. Pahavara logib oma tegevused, käivitab kaevandaja ja genereerib juhuslikke IPv4 võrgu alamvõrke, et tuvastada täiendavaid haavatavaid Dockeri eksemplare. Eelkõige on sihitud juhtumid, mille standardne API port 2375 on avatud. Lisaks dero kaevandamisele on murettekitav ka pahavara võime nakatada Ubuntu-põhiseid konteinereid.
Ründajate ebatüüpiline lähenemine
Trend Micro küberjulgeolekuteadlased teatavad nendele rünnakutele ebatavalisest lähenemisest. Nad avastasid, et ründajad sihivad haavatavaid Dockeri kaug-API-servereid ja kasutavad olemasolevatest turbelahendustest möödahiilimiseks h2c-i kaudu gRPC-protokolli. Esiteks kontrollivad ründajad Dockeri API saadavust ja versiooni. Seejärel saadavad nad taotlused gRPC/h2c-ühenduse uuendamiseks, et manipuleerida Dockeri funktsionaalsusega ja rakendada nende kaevandamise kasulikku koormust.
Pärast ühenduse uuendamist saab luua konteineri, mida hakatakse kasutama krüptoraha kaevandamiseks. Kasutatakse SRBMinerit, mida majutatakse GitHubis. Kuigi SRBMiner on lõppkokkuvõttes mõeldud Ripple'i plokiahelasse kuuluva XRP-märgi kaevandamiseks, on oluline märkida, et XRP on vermitud märk ja seetõttu ei saa seda kaevandada. SRBMiner kasutab aga ka selliseid algoritme nagu RandomX ja KawPow, mis suudavad genereerida selliseid märke nagu Monero, Ravencoin, Haven Protocol, Wownero ja Firo. Arvatakse, et ründajad kaevandavad peamiselt Monero't, kuna küberkurjategijad on selle tunnuse privaatsus- ja anonüümsusfunktsioonide tõttu väga nõutud.
Soovitused Dockeri API serverite turvamiseks
Trend Micro turbeeksperdid soovitavad kindlustada Dockeri kaug-API serverid tugevamate juurdepääsukontrollide ja autentimismehhanismidega. Kasutajad peaksid regulaarselt jälgima oma servereid ebatavalise tegevuse suhtes ja rakendama konteinerite kaitsmiseks parimaid tavasid. Kuna see pahavarakampaania on kooskõlas sarnase tegevusega, mille CrowdStrike varem 2023. aasta märtsis dokumenteeris, on oluline, et organisatsioonid vaataksid läbi ja kohandaksid oma turvameetmed.
Lisateavet praeguste ise levivate pahavaraohtude kohta leiate aadressilt IT Boltwise ja TechRadar.