Suche
Mein Konto
Piros figyelmeztetés: Az új rosszindulatú programok a Docker szervereket kriptobányászokká változtatják!
Az új rosszindulatú programkampány nem biztonságos Docker API-kat használ a Cryptojacking, Targets Dero és Monero számára. Biztonsági kutatók figyelmeztetnek!
Piros figyelmeztetés: Az új rosszindulatú programok a Docker szervereket kriptobányászokká változtatják!
Egy új rosszindulatú kampány kifejezetten a rosszul konfigurált Docker API-példányokat célozza meg, és ezek segítségével illegális bothálózatot hoz létre a Dero kriptovaluta bányászatára. A Kaspersky biztonsági kutatói felfedezték, hogy egy ismeretlen fenyegetés szereplő kihasználja a nem biztonságosan közzétett Docker API-k sebezhetőségeit. A rosszindulatú program féregszerű képességekkel rendelkezik, amelyek lehetővé teszik, hogy átterjedjen más Docker-példányokra, így sokkal könnyebben terjed. A kompromittált konténereket kriptovaluták bányászására és külső támadások végrehajtására használják.
A támadás két fő összetevőn keresztül történik: egy terjedő rosszindulatú programon, amely legitim nginx webszervernek álcázza magát, és fedetlen Docker API-kat keres, valamint a Dero kriptovaluta bányászon keresztül. Mindkét komponenst Golangban fejlesztették ki. A rosszindulatú program naplózza tevékenységét, elindítja a bányászt, és véletlenszerű IPv4 hálózati alhálózatokat generál a további sebezhető Docker-példányok azonosítására. Különösen a szabványos 2375-ös API-porttal rendelkező példányokat célozzák meg. A dero bányászat mellett az is riasztó, hogy a kártevő képes megfertőzni az Ubuntu alapú konténereket.
Atipikus megközelítés a támadók részéről
A Trend Micro kiberbiztonsági kutatói „unortodox megközelítésről” számoltak be ezekre a támadásokra. Felfedezték, hogy a támadók a sebezhető Docker távoli API-kiszolgálókat veszik célba, és a gRPC protokollt használják a h2c-n keresztül a meglévő biztonsági megoldások megkerülésére. Először a támadók ellenőrzik a Docker API elérhetőségét és verzióját. Ezután kéréseket küldenek a gRPC/h2c kapcsolat frissítésére, hogy manipulálják a Docker funkcióit és megvalósítsák a bányászati hasznos terhelésüket.
A kapcsolat frissítése után létrehozható egy konténer, amelyet kriptovaluta bányászathoz használunk. SRBMiner használatos, amely a GitHubon található. Bár az SRBMiner végső soron a Ripple blokklánc részét képező XRP token bányászatára szolgál, fontos megjegyezni, hogy az XRP egy vert token, ezért nem bányászható. Az SRBMiner azonban olyan algoritmusokat is használ, mint a RandomX és a KawPow, amelyek olyan tokeneket generálhatnak, mint a Monero, Ravencoin, Haven Protocol, Wownero és Firo. Úgy gondolják, hogy a támadók elsősorban Monerót bányásznak, mivel ezt a tokent nagyon keresik a kiberbűnözők adatvédelmi és anonimitási funkciói miatt.
Javaslatok a Docker API-kiszolgálók biztonságossá tételéhez
A Trend Micro biztonsági szakértői azt javasolják, hogy a Docker távoli API-szervereket erősebb hozzáférés-vezérléssel és hitelesítési mechanizmusokkal biztosítsák. A felhasználóknak rendszeresen figyelniük kell szervereiket a szokatlan tevékenységekre, és be kell vezetniük a bevált módszereket a tárolók védelmére. Mivel ez a rosszindulatú programokkal kapcsolatos kampány összhangban van a CrowdStrike által 2023 márciusában korábban dokumentált hasonló tevékenységgel, elengedhetetlen, hogy a szervezetek újragondolják és módosítsák biztonsági óvintézkedéseiket.
A jelenlegi önterjedő rosszindulatú programokkal kapcsolatos további információkért keresse fel a webhelyet IT Boltwise és TechRadar.