Suche
Mein Konto
Rødt varsel: Ny skadelig programvare gjør Docker-servere til kryptogruvearbeidere!
Ny Malware-kampanje bruker Insecure Docker APIer for Cryptojacking, Targets Dero og Monero. Sikkerhetsforskere advarer!
Rødt varsel: Ny skadelig programvare gjør Docker-servere til kryptogruvearbeidere!
En ny malware-kampanje retter seg spesifikt mot feilkonfigurerte Docker API-forekomster og bruker dem til å lage et ulovlig botnettverk for utvinning av kryptovalutaen Dero. Sikkerhetsforskere ved Kaspersky har oppdaget at en ukjent trusselaktør utnytter sårbarheter i usikkert publiserte Docker APIer. Skadevaren viser ormlignende egenskaper som lar den spre seg til andre Docker-forekomster, noe som gjør det mye lettere å spre. Kompromitterte beholdere brukes til å utvinne kryptovalutaer og utføre eksterne angrep.
Angrepet skjer gjennom to hovedkomponenter: en spredende skadelig programvare som maskerer seg som en legitim nginx-nettserver og ser etter utsatte Docker APIer, og Dero-kryptovalutagruvearbeideren. Begge komponentene er utviklet i Golang. Skadevaren logger aktivitetene sine, starter gruvearbeideren og genererer tilfeldige IPv4-nettverksundernett for å identifisere ytterligere sårbare Docker-forekomster. Spesielt målrettes forekomster med standard API-port 2375 åpen. I tillegg til dero mining, er skadevareens evne til å infisere Ubuntu-baserte beholdere også alarmerende.
Atypisk tilnærming av angriperne
Cybersikkerhetsforskere ved Trend Micro rapporterer en "uortodoks tilnærming" til disse angrepene. De oppdaget at angripere retter seg mot sårbare Docker eksterne API-servere og utnytter gRPC-protokollen over h2c for å omgå eksisterende sikkerhetsløsninger. Først sjekker angriperne tilgjengeligheten og versjonen av Docker API. De sender deretter forespørsler om å oppgradere gRPC/h2c-forbindelsen for å manipulere Docker-funksjonalitet og implementere gruvenyttelasten deres.
Etter å ha oppgradert tilkoblingen kan det opprettes en beholder som skal brukes til gruvedrift av kryptovaluta. SRBMiner brukes, som er vert på GitHub. Selv om SRBMiner til syvende og sist er ment for utvinning av XRP-tokenet, som er en del av Ripple-blokkjeden, er det viktig å merke seg at XRP er et preget token og derfor ikke kan utvinnes. SRBMiner bruker imidlertid også algoritmer som RandomX og KawPow, som kan generere tokens som Monero, Ravencoin, Haven Protocol, Wownero og Firo. Det antas at angripere primært miner Monero, da dette tokenet er svært ettertraktet av nettkriminelle på grunn av dets personvern og anonymitetsfunksjoner.
Anbefalinger for å sikre Docker API-servere
Trend Micros sikkerhetseksperter anbefaler å sikre Docker eksterne API-servere med sterkere tilgangskontroller og autentiseringsmekanismer. Brukere bør regelmessig overvåke serverne sine for uvanlig aktivitet og implementere beste praksis for å beskytte containere. Fordi denne skadevarekampanjen samsvarer med lignende aktivitet som tidligere ble dokumentert av CrowdStrike i mars 2023, er det viktig at organisasjoner revurderer og tilpasser sine sikkerhetstiltak.
For mer informasjon om gjeldende selvforplantende skadelig programvare, besøk IT Boltwise og TechRadar.