Suche
Mein Konto
Crveno upozorenje: Novi malware pretvara Docker poslužitelje u kripto rudare!
Nova kampanja zlonamjernog softvera koristi nesigurne Docker API-je za Cryptojacking, ciljajući na Dero i Monero. Sigurnosni istraživači upozoravaju!
Crveno upozorenje: Novi malware pretvara Docker poslužitelje u kripto rudare!
Nova kampanja zlonamjernog softvera posebno cilja na pogrešno konfigurirane instance Docker API-ja i koristi ih za stvaranje ilegalne bot mreže za rudarenje kriptovalute Dero. Sigurnosni istraživači tvrtke Kaspersky otkrili su da nepoznati akter prijetnje iskorištava ranjivosti u nesigurno objavljenim Docker API-jima. Zlonamjerni softver pokazuje mogućnosti poput crva koje mu omogućuju širenje na druge instance Dockera, što ga čini mnogo lakšim za širenje. Kompromitirani spremnici koriste se za rudarenje kriptovaluta i izvođenje vanjskih napada.
Napad se događa kroz dvije glavne komponente: širenje zlonamjernog softvera koji se maskira u legitimnog nginx web poslužitelja i traži izložene Docker API-je i Dero rudar kriptovalute. Obje komponente razvijene su u Golangu. Zlonamjerni softver bilježi svoje aktivnosti, pokreće rudar i generira nasumične IPv4 mrežne podmreže kako bi identificirao dodatne ranjive instance Dockera. Konkretno, ciljane su instance s otvorenim standardnim API portom 2375. Osim dero rudarenja, sposobnost zlonamjernog softvera da zarazi kontejnere temeljene na Ubuntuu također je alarmantna.
Netipičan pristup napadača
Istraživači kibernetičke sigurnosti u Trend Microu izvješćuju o "neortodoksnom pristupu" ovim napadima. Otkrili su da napadači ciljaju ranjive Docker udaljene API poslužitelje i iskorištavaju gRPC protokol preko h2c kako bi zaobišli postojeća sigurnosna rješenja. Prvo, napadači provjeravaju dostupnost i verziju Docker API-ja. Zatim šalju zahtjeve za nadogradnju gRPC/h2c veze kako bi manipulirali funkcionalnošću Dockera i implementirali svoj korisni teret rudarenja.
Nakon nadogradnje veze može se izraditi spremnik koji će se koristiti za rudarenje kriptovalute. Koristi se SRBMiner koji se nalazi na GitHubu. Iako je SRBMiner u konačnici namijenjen za rudarenje XRP tokena, koji je dio Ripple blockchaina, važno je napomenuti da je XRP iskovan token i stoga se ne može rudariti. Međutim, SRBMiner također koristi algoritme kao što su RandomX i KawPow, koji mogu generirati tokene kao što su Monero, Ravencoin, Haven Protocol, Wownero i Firo. Vjeruje se da napadači prvenstveno rudare Monero, budući da je ovaj token vrlo tražen od strane kibernetičkih kriminalaca zbog njegove privatnosti i značajki anonimnosti.
Preporuke za osiguranje Docker API poslužitelja
Stručnjaci za sigurnost tvrtke Trend Micro preporučuju osiguranje udaljenih API poslužitelja Docker jačim kontrolama pristupa i mehanizmima provjere autentičnosti. Korisnici bi trebali redovito nadzirati svoje poslužitelje radi neuobičajene aktivnosti i primijeniti najbolje prakse za zaštitu spremnika. Budući da je ova kampanja zlonamjernog softvera u skladu sa sličnom aktivnošću koju je prethodno dokumentirao CrowdStrike u ožujku 2023., bitno je da organizacije preispitaju i prilagode svoje sigurnosne mjere opreza.
Za više informacija o trenutnim prijetnjama zlonamjernog softvera koji se sami šire, posjetite IT Boltwise i TechRadar.