Suche
Mein Konto
Raudonas įspėjimas: nauja kenkėjiška programa paverčia Docker serverius kriptovaliutų kasėjais!
Naujoje kenkėjiškų programų kampanijoje naudojamos nesaugios „Docker“ API, skirtos Cryptojacking, Targets Dero ir Monero. Saugumo tyrinėtojai perspėja!
Raudonas įspėjimas: nauja kenkėjiška programa paverčia Docker serverius kriptovaliutų kasėjais!
Nauja kenkėjiškų programų kampanija konkrečiai nukreipta į netinkamai sukonfigūruotus „Docker“ API egzempliorius ir naudoja juos kuriant neteisėtą robotų tinklą, skirtą kriptovaliutai „Dero“ kasti. „Kaspersky“ saugumo tyrinėtojai išsiaiškino, kad nežinomas grėsmės veikėjas naudojasi nesaugiai paskelbtų „Docker“ API spragas. Kenkėjiška programinė įranga turi į kirminą panašių galimybių, leidžiančių jai plisti į kitus „Docker“ egzempliorius, todėl ją daug lengviau plisti. Sukompromituoti konteineriai naudojami kriptovaliutoms iškasti ir išorinėms atakoms vykdyti.
Ataka vyksta per du pagrindinius komponentus: plintančią kenkėjišką programą, kuri prisidengia teisėtu nginx žiniatinklio serveriu ir ieško atvirų Docker API, ir Dero kriptovaliutų kasyklą. Abu komponentai sukurti Golange. Kenkėjiška programa registruoja savo veiklą, paleidžia kasyklą ir generuoja atsitiktinius IPv4 tinklo potinklius, kad nustatytų papildomus pažeidžiamus „Docker“ egzempliorius. Visų pirma, taikomi atvejai, kurių standartinis API prievadas yra atidarytas 2375. Be dero kasybos, nerimą kelia ir kenkėjiškų programų gebėjimas užkrėsti Ubuntu pagrindu veikiančius konteinerius.
Netipiškas užpuolikų požiūris
Kibernetinio saugumo tyrėjai „Trend Micro“ praneša apie „neįprastą požiūrį“ į šias atakas. Jie išsiaiškino, kad užpuolikai taikosi į pažeidžiamus Docker nuotolinius API serverius ir naudoja gRPC protokolą per h2c, kad apeitų esamus saugos sprendimus. Pirmiausia užpuolikai patikrina Docker API prieinamumą ir versiją. Tada jie siunčia užklausas atnaujinti gRPC/h2c ryšį, kad galėtų manipuliuoti „Docker“ funkcijomis ir įgyvendinti savo naudingąją apkrovą.
Atnaujinus ryšį galima sukurti konteinerį, kuris bus naudojamas kriptovaliutų kasimui. Naudojamas SRBMiner, kuris yra priglobtas GitHub. Nors SRBMiner galiausiai yra skirtas XRP žetonui, kuris yra „Ripple blockchain“ dalis, kasti, svarbu pažymėti, kad XRP yra nukaldintas žetonas, todėl jo negalima išgauti. Tačiau SRBMiner taip pat naudoja tokius algoritmus kaip RandomX ir KawPow, kurie gali generuoti tokius žetonus kaip Monero, Ravencoin, Haven Protocol, Wownero ir Firo. Manoma, kad užpuolikai pirmiausia išgauna Monero, nes šis žetonas yra labai geidžiamas kibernetinių nusikaltėlių dėl savo privatumo ir anonimiškumo savybių.
Rekomendacijos, kaip apsaugoti Docker API serverius
„Trend Micro“ saugos ekspertai rekomenduoja apsaugoti „Docker“ nuotolinius API serverius naudojant stipresnius prieigos valdiklius ir autentifikavimo mechanizmus. Vartotojai turėtų reguliariai stebėti, ar serveriuose nėra neįprastos veiklos, ir taikyti geriausią praktiką, kad apsaugotų konteinerius. Kadangi ši kenkėjiškų programų kampanija atitinka panašią veiklą, kurią CrowdStrike anksčiau užfiksavo 2023 m. kovo mėn., labai svarbu, kad organizacijos persvarstytų ir pritaikytų atsargumo priemones.
Norėdami gauti daugiau informacijos apie dabartines savaime plintančias kenkėjiškų programų grėsmes, apsilankykite IT Boltwise ir TechRadaras.