Alerte rouge : un nouveau malware transforme les serveurs Docker en mineurs de crypto !

Alerte rouge : un nouveau malware transforme les serveurs Docker en mineurs de crypto !

Une nouvelle campagne de malware cible spécifiquement les instances d'API Docker mal configurées et les utilise pour créer un réseau de robots illégal pour extraire la crypto-monnaie Dero. Les chercheurs en sécurité de Kaspersky ont découvert qu'un acteur malveillant inconnu exploite les vulnérabilités des API Docker publiées de manière non sécurisée. Le malware présente des capacités semblables à celles d'un ver qui lui permettent de se propager à d'autres instances Docker, ce qui le rend beaucoup plus facile. Les conteneurs compromis sont utilisés pour extraire des crypto-monnaies et mener des attaques externes.

L'attaque se produit via deux composants principaux : un malware qui se propage qui se fait passer pour un serveur Web nginx légitime et recherche les API Docker exposées, et le mineur de crypto-monnaie Dero. Les deux composants sont développés en Golang. Le malware enregistre ses activités, démarre le mineur et génère des sous-réseaux réseau IPv4 aléatoires pour identifier des instances Docker vulnérables supplémentaires. En particulier, les instances avec le port API standard 2375 ouvert sont ciblées. En plus du dero mining, la capacité du malware à infecter les conteneurs basés sur Ubuntu est également alarmante.

Démarche atypique des attaquants

Les chercheurs en cybersécurité de Trend Micro signalent une « approche peu orthodoxe » de ces attaques. Ils ont découvert que les attaquants ciblent les serveurs API distants Docker vulnérables et exploitent le protocole gRPC sur h2c pour contourner les solutions de sécurité existantes. Tout d’abord, les attaquants vérifient la disponibilité et la version de l’API Docker. Ils envoient ensuite des requêtes pour mettre à niveau la connexion gRPC/h2c afin de manipuler la fonctionnalité Docker et de mettre en œuvre leur charge utile de minage.

Après avoir mis à niveau la connexion, un conteneur peut être créé qui sera utilisé pour l'extraction de crypto-monnaie. SRBMiner est utilisé, qui est hébergé sur GitHub. Bien que SRBMiner soit finalement destiné au minage du jeton XRP, qui fait partie de la blockchain Ripple, il est important de noter que XRP est un jeton frappé et ne peut donc pas être miné. Cependant, SRBMiner utilise également des algorithmes tels que RandomX et KawPow, qui peuvent générer des jetons tels que Monero, Ravencoin, Haven Protocol, Wownero et Firo. On pense que les attaquants exploitent principalement Monero, car ce jeton est très recherché par les cybercriminels en raison de ses fonctionnalités de confidentialité et d'anonymat.

Recommandations pour sécuriser les serveurs API Docker

Les experts en sécurité de Trend Micro recommandent de sécuriser les serveurs API distants Docker avec des contrôles d'accès et des mécanismes d'authentification plus stricts. Les utilisateurs doivent surveiller régulièrement leurs serveurs pour détecter toute activité inhabituelle et mettre en œuvre les meilleures pratiques pour protéger les conteneurs. Cette campagne de malware étant cohérente avec une activité similaire précédemment documentée par CrowdStrike en mars 2023, il est essentiel que les organisations reconsidèrent et adaptent leurs mesures de sécurité.

Pour plus d'informations sur les menaces actuelles de logiciels malveillants à propagation automatique, visitez Informatique par boulons et TechRadar.