Suche
Mein Konto
Allarme rosso: il nuovo malware trasforma i server Docker in crypto miner!
La nuova campagna malware utilizza API Docker non sicure per il cryptojacking e prende di mira Dero e Monero. I ricercatori della sicurezza avvertono!
Allarme rosso: il nuovo malware trasforma i server Docker in crypto miner!
Una nuova campagna malware prende di mira specificamente le istanze API Docker configurate in modo errato e le utilizza per creare una rete bot illegale per estrarre la criptovaluta Dero. I ricercatori di sicurezza di Kaspersky hanno scoperto che un attore di minacce sconosciuto sta sfruttando le vulnerabilità nelle API Docker pubblicate in modo non sicuro. Il malware presenta funzionalità simili a worm che gli consentono di diffondersi ad altre istanze Docker, rendendone molto più semplice la diffusione. I contenitori compromessi vengono utilizzati per estrarre criptovalute ed effettuare attacchi esterni.
L'attacco avviene attraverso due componenti principali: un malware diffuso che si maschera da server Web nginx legittimo e cerca API Docker esposte e il minatore di criptovaluta Dero. Entrambi i componenti sono sviluppati a Golang. Il malware registra le sue attività, avvia il miner e genera sottoreti di rete IPv4 casuali per identificare ulteriori istanze Docker vulnerabili. In particolare, vengono prese di mira le istanze con la porta API standard 2375 aperta. Oltre al dero mining, è allarmante anche la capacità del malware di infettare i container basati su Ubuntu.
Approccio atipico da parte degli aggressori
I ricercatori di sicurezza informatica di Trend Micro segnalano un “approccio non ortodosso” a questi attacchi. Hanno scoperto che gli aggressori prendono di mira i server API remoti Docker vulnerabili e sfruttano il protocollo gRPC su h2c per aggirare le soluzioni di sicurezza esistenti. Innanzitutto gli aggressori controllano la disponibilità e la versione della Docker API. Quindi inviano richieste per aggiornare la connessione gRPC/h2c al fine di manipolare la funzionalità Docker e implementare il proprio carico utile di mining.
Dopo aver aggiornato la connessione, è possibile creare un contenitore che verrà utilizzato per il mining di criptovaluta. Viene utilizzato SRBMiner, che è ospitato su GitHub. Sebbene SRBMiner sia in definitiva destinato al mining del token XRP, che fa parte della blockchain di Ripple, è importante notare che XRP è un token coniato e quindi non può essere estratto. Tuttavia, SRBMiner utilizza anche algoritmi come RandomX e KawPow, che possono generare token come Monero, Ravencoin, Haven Protocol, Wownero e Firo. Si ritiene che gli aggressori estraggano principalmente Monero, poiché questo token è molto ricercato dai criminali informatici per le sue caratteristiche di privacy e anonimato.
Consigli per proteggere i server API Docker
Gli esperti di sicurezza di Trend Micro consigliano di proteggere i server API remoti Docker con controlli di accesso e meccanismi di autenticazione più forti. Gli utenti dovrebbero monitorare regolarmente i propri server per rilevare attività insolite e implementare le migliori pratiche per proteggere i contenitori. Poiché questa campagna malware è coerente con un’attività simile precedentemente documentata da CrowdStrike nel marzo 2023, è essenziale che le organizzazioni riconsiderino e adattino le proprie precauzioni di sicurezza.
Per ulteriori informazioni sulle attuali minacce malware auto-propaganti, visitare IT Boltwise E TechRadar.