Suche
Mein Konto
Rode waarschuwing: nieuwe malware verandert Docker-servers in cryptominers!
Nieuwe malwarecampagne maakt gebruik van onveilige Docker-API's voor Cryptojacking, richt zich op Dero en Monero. Beveiligingsonderzoekers waarschuwen!
Rode waarschuwing: nieuwe malware verandert Docker-servers in cryptominers!
Een nieuwe malwarecampagne richt zich specifiek op verkeerd geconfigureerde Docker API-instanties en gebruikt deze om een illegaal botnetwerk te creëren voor het minen van de cryptocurrency Dero. Beveiligingsonderzoekers bij Kaspersky hebben ontdekt dat een onbekende bedreigingsacteur kwetsbaarheden misbruikt in onveilig gepubliceerde Docker API's. De malware vertoont wormachtige mogelijkheden waardoor hij zichzelf naar andere Docker-instanties kan verspreiden, waardoor de verspreiding veel gemakkelijker wordt. Gecompromitteerde containers worden gebruikt om cryptocurrencies te minen en externe aanvallen uit te voeren.
De aanval vindt plaats via twee hoofdcomponenten: een zich verspreidende malware die zich voordoet als een legitieme nginx-webserver en zoekt naar blootgestelde Docker-API's, en de cryptocurrency-mijnwerker Dero. Beide componenten zijn ontwikkeld in Golang. De malware registreert zijn activiteiten, start de mijnwerker en genereert willekeurige IPv4-netwerksubnetten om extra kwetsbare Docker-instanties te identificeren. In het bijzonder zijn instances met standaard API-poort 2375 open het doelwit. Naast dero-mining is ook het vermogen van de malware om op Ubuntu gebaseerde containers te infecteren alarmerend.
Atypische aanpak van de aanvallers
Cybersecurity-onderzoekers bij Trend Micro rapporteren een “onorthodoxe benadering” van deze aanvallen. Ze ontdekten dat aanvallers zich richten op kwetsbare externe API-servers van Docker en het gRPC-protocol via h2c gebruiken om bestaande beveiligingsoplossingen te omzeilen. Eerst controleren de aanvallers de beschikbaarheid en versie van de Docker API. Vervolgens sturen ze verzoeken om de gRPC/h2c-verbinding te upgraden om de Docker-functionaliteit te manipuleren en hun mining-payload te implementeren.
Na het upgraden van de verbinding kan er een container worden aangemaakt die gebruikt gaat worden voor cryptocurrency mining. Er wordt gebruik gemaakt van SRBMiner, dat wordt gehost op GitHub. Hoewel SRBMiner uiteindelijk bedoeld is voor het minen van het XRP-token, dat deel uitmaakt van de Ripple-blockchain, is het belangrijk op te merken dat XRP een geslagen token is en daarom niet kan worden gemined. SRBMiner maakt echter ook gebruik van algoritmen zoals RandomX en KawPow, die tokens kunnen genereren zoals Monero, Ravencoin, Haven Protocol, Wownero en Firo. Er wordt aangenomen dat aanvallers voornamelijk Monero minen, omdat dit token zeer gewild is bij cybercriminelen vanwege de privacy- en anonimiteitskenmerken.
Aanbevelingen voor het beveiligen van Docker API-servers
Beveiligingsexperts van Trend Micro raden aan Docker externe API-servers te beveiligen met sterkere toegangscontroles en authenticatiemechanismen. Gebruikers moeten hun servers regelmatig controleren op ongebruikelijke activiteiten en best practices implementeren om containers te beschermen. Omdat deze malwarecampagne consistent is met soortgelijke activiteiten die eerder door CrowdStrike in maart 2023 werden gedocumenteerd, is het essentieel dat organisaties hun beveiligingsmaatregelen heroverwegen en aanpassen.
Ga voor meer informatie over de huidige zichzelf verspreidende malwarebedreigingen naar IT Boltwise En TechRadar.