Suche
Mein Konto
Sarkanais brīdinājums: jauna ļaunprogrammatūra pārvērš Docker serverus par šifrēšanas ieguvējiem!
Jaunā ļaunprātīgas programmatūras kampaņa izmanto nedrošu Docker API šifrēšanai, mērķiem Dero un Monero. Drošības pētnieki brīdina!
Sarkanais brīdinājums: jauna ļaunprogrammatūra pārvērš Docker serverus par šifrēšanas ieguvējiem!
Jauna ļaunprātīgas programmatūras kampaņa ir īpaši paredzēta nepareizi konfigurētiem Docker API gadījumiem un izmanto tos, lai izveidotu nelegālu robotu tīklu kriptovalūtas Dero ieguvei. Kaspersky drošības pētnieki ir atklājuši, ka nezināms apdraudējuma dalībnieks izmanto nedroši publicēto Docker API ievainojamības. Ļaunprātīgajai programmatūrai ir tārpiem līdzīgas iespējas, kas ļauj tai izplatīties citās Docker instancēs, padarot to daudz vieglāk izplatību. Kompromitēti konteineri tiek izmantoti kriptovalūtu rakšanai un ārēju uzbrukumu veikšanai.
Uzbrukums notiek, izmantojot divus galvenos komponentus: izplatošu ļaunprātīgu programmatūru, kas maskējas kā likumīgs nginx tīmekļa serveris un meklē atklātas Docker API, un Dero kriptovalūtas kalnraču. Abas sastāvdaļas ir izstrādātas Golangā. Ļaunprātīga programmatūra reģistrē savas darbības, palaiž kalnraču un ģenerē nejaušus IPv4 tīkla apakštīklus, lai identificētu papildu neaizsargātus Docker gadījumus. Jo īpaši tiek atlasīti gadījumi ar atvērtu standarta API portu 2375. Papildus dero ieguvei satraucoša ir arī ļaunprātīgas programmatūras spēja inficēt konteinerus, kuru pamatā ir Ubuntu.
Netipiska uzbrucēju pieeja
Trend Micro kiberdrošības pētnieki ziņo par "neparastu pieeju" šiem uzbrukumiem. Viņi atklāja, ka uzbrucēji ir vērsti uz neaizsargātiem Docker attāliem API serveriem un izmanto gRPC protokolu, izmantojot h2c, lai apietu esošos drošības risinājumus. Pirmkārt, uzbrucēji pārbauda Docker API pieejamību un versiju. Pēc tam viņi nosūta pieprasījumus jaunināt gRPC/h2c savienojumu, lai manipulētu ar Docker funkcionalitāti un ieviestu savu ieguves slodzi.
Pēc savienojuma jaunināšanas var izveidot konteineru, kas tiks izmantots kriptovalūtas ieguvei. Tiek izmantots SRBMiner, kas tiek mitināts vietnē GitHub. Lai gan SRBMiner galu galā ir paredzēts XRP marķiera ieguvei, kas ir daļa no Ripple blokķēdes, ir svarīgi atzīmēt, ka XRP ir kalts marķieris un tāpēc to nevar iegūt. Tomēr SRBMiner izmanto arī tādus algoritmus kā RandomX un KawPow, kas var ģenerēt tādus marķierus kā Monero, Ravencoin, Haven Protocol, Wownero un Firo. Tiek uzskatīts, ka uzbrucēji galvenokārt iegūst Monero, jo šis marķieris ir ļoti pieprasīts kibernoziedznieku vidū tā privātuma un anonimitātes funkciju dēļ.
Ieteikumi Docker API serveru nodrošināšanai
Trend Micro drošības eksperti iesaka nodrošināt Docker attālos API serverus ar spēcīgāku piekļuves kontroli un autentifikācijas mehānismiem. Lietotājiem regulāri jāuzrauga, vai savos serveros nav neparastu darbību, un jāievieš paraugprakse, lai aizsargātu konteinerus. Tā kā šī ļaunprātīgās programmatūras kampaņa atbilst līdzīgai darbībai, ko CrowdStrike iepriekš dokumentēja 2023. gada martā, organizācijām ir svarīgi pārskatīt un pielāgot savus drošības pasākumus.
Lai iegūtu papildinformāciju par pašreizējiem pašizplatīšanās ļaunprātīgas programmatūras draudiem, apmeklējiet vietni IT Boltwise un TechRadar.