Suche
Mein Konto
Punainen hälytys: Uudet haittaohjelmat tekevät Docker-palvelimista krypto-kaivostyöntekijöitä!
Uusi haittaohjelmakampanja käyttää suojaamattomia Docker-sovellusliittymiä Cryptojacking-, Targets Dero- ja Monero-ohjelmiin. Turvallisuustutkijat varoittavat!
Punainen hälytys: Uudet haittaohjelmat tekevät Docker-palvelimista krypto-kaivostyöntekijöitä!
Uusi haittaohjelmakampanja kohdistuu erityisesti väärin määritettyihin Docker API -esiintymiin ja käyttää niitä laittoman bot-verkon luomiseen kryptovaluutan Deron louhintaan. Kasperskyn tietoturvatutkijat ovat havainneet, että tuntematon uhkatekijä käyttää hyväkseen epäturvallisesti julkaistujen Docker-sovellusliittymien haavoittuvuuksia. Haittaohjelmassa on matomaisia ominaisuuksia, jotka mahdollistavat sen leviämisen muihin Docker-esiintymiin, mikä helpottaa leviämistä. Vaarallisia säiliöitä käytetään kryptovaluuttojen louhimiseen ja ulkoisten hyökkäysten tekemiseen.
Hyökkäys tapahtuu kahden pääkomponentin kautta: leviävä haittaohjelma, joka naamioituu lailliseksi nginx-verkkopalvelimeksi ja etsii paljaita Docker-sovellusliittymiä, ja Dero kryptovaluutan louhinta. Molemmat komponentit on kehitetty Golangissa. Haittaohjelma kirjaa toimintansa lokiin, käynnistää kaivosohjelman ja luo satunnaisia IPv4-verkkoaliverkkoja tunnistaakseen muita haavoittuvia Docker-esiintymiä. Erityisesti kohdistetaan tapauksiin, joissa standardi API-portti 2375 on auki. Deron louhinnan lisäksi haittaohjelman kyky tartuttaa Ubuntu-pohjaisia säiliöitä on myös hälyttävä.
Epätyypillinen lähestymistapa hyökkääjiltä
Trend Micron kyberturvallisuustutkijat raportoivat "epätavallisen lähestymistavan" näihin hyökkäyksiin. He havaitsivat, että hyökkääjät tähtäävät haavoittuviin Dockerin etäsovellusliittymäpalvelimiin ja hyödyntävät gRPC-protokollaa h2c:n yli ohittaakseen olemassa olevat tietoturvaratkaisut. Ensin hyökkääjät tarkistavat Docker API:n saatavuuden ja version. Sitten he lähettävät pyyntöjä päivittää gRPC/h2c-yhteys Dockerin toimivuuden manipuloimiseksi ja kaivoshyötykuorman toteuttamiseksi.
Yhteyden päivityksen jälkeen voidaan luoda kontti, jota käytetään kryptovaluutan louhintaan. Käytetään SRBMineria, jota isännöidään GitHubissa. Vaikka SRBMiner on viime kädessä tarkoitettu Ripple-lohkoketjuun kuuluvan XRP-tunnuksen louhintaan, on tärkeää huomata, että XRP on lyöty token, eikä sitä siksi voida louhia. SRBMiner käyttää kuitenkin myös algoritmeja, kuten RandomX ja KawPow, jotka voivat luoda tunnuksia, kuten Monero, Ravencoin, Haven Protocol, Wownero ja Firo. Uskotaan, että hyökkääjät louhivat ensisijaisesti Moneroa, koska tämä merkki on erittäin haluttu kyberrikollisilta sen yksityisyys- ja nimettömyysominaisuuksien vuoksi.
Suosituksia Docker API -palvelimien suojaamiseen
Trend Micron tietoturvaasiantuntijat suosittelevat Dockerin etäsovellusliittymäpalvelimien suojaamista vahvemmilla pääsynvalvonta- ja todennusmekanismeilla. Käyttäjien tulee säännöllisesti tarkkailla palvelimiaan epätavallisen toiminnan varalta ja ottaa käyttöön parhaat käytännöt säiliöiden suojaamiseksi. Koska tämä haittaohjelmakampanja on yhdenmukainen samanlaisen toiminnan kanssa, jonka CrowdStrike dokumentoi aiemmin maaliskuussa 2023, on tärkeää, että organisaatiot harkitsevat uudelleen ja mukauttavat turvallisuusvarotoimiaan.
Lisätietoja nykyisistä itseään levittävistä haittaohjelmauhkista on osoitteessa IT Boltwise ja TechRadar.