Suche
Mein Konto
Czerwony alert: nowe złośliwe oprogramowanie zamienia serwery Docker w koparki kryptowalut!
Nowa kampania dotycząca złośliwego oprogramowania wykorzystuje niezabezpieczone interfejsy API Dockera do Cryptojackingu, a jej celem są Dero i Monero. Badacze bezpieczeństwa ostrzegają!
Czerwony alert: nowe złośliwe oprogramowanie zamienia serwery Docker w koparki kryptowalut!
Nowa kampania złośliwego oprogramowania atakuje w szczególności źle skonfigurowane instancje Docker API i wykorzystuje je do stworzenia nielegalnej sieci botów do wydobywania kryptowaluty Dero. Badacze bezpieczeństwa w firmie Kaspersky odkryli, że nieznany ugrupowanie zagrażające wykorzystuje luki w niebezpiecznie opublikowanych interfejsach API platformy Docker. Szkodnik ten wykazuje właściwości robaka, które pozwalają mu rozprzestrzeniać się do innych instancji Dockera, co znacznie ułatwia jego rozprzestrzenianie się. Zaatakowane kontenery służą do wydobywania kryptowalut i przeprowadzania ataków zewnętrznych.
Atak odbywa się poprzez dwa główne komponenty: rozprzestrzeniające się złośliwe oprogramowanie podszywające się pod legalny serwer WWW Nginx i wyszukujące odsłonięte interfejsy API Dockera oraz koparkę kryptowaluty Dero. Obydwa komponenty zostały opracowane w Golang. Szkodnik rejestruje swoje działania, uruchamia koparkę i generuje losowe podsieci sieciowe IPv4 w celu zidentyfikowania dodatkowych podatnych na ataki instancji Dockera. W szczególności celem są instancje z otwartym standardowym portem API 2375. Oprócz wydobywania dero alarmująca jest również zdolność szkodliwego oprogramowania do infekowania kontenerów opartych na Ubuntu.
Nietypowe podejście napastników
Badacze ds. cyberbezpieczeństwa w firmie Trend Micro zgłaszają „niekonwencjonalne podejście” do tych ataków. Odkryli, że atakujący atakują podatne na ataki zdalne serwery API Docker i wykorzystują protokół gRPC poprzez h2c, aby ominąć istniejące rozwiązania bezpieczeństwa. W pierwszej kolejności napastnicy sprawdzają dostępność i wersję Docker API. Następnie wysyłają żądania aktualizacji połączenia gRPC/h2c w celu manipulowania funkcjonalnością Dockera i implementowania ładunku wydobywczego.
Po zaktualizowaniu połączenia można utworzyć kontener, który będzie używany do wydobywania kryptowalut. Używany jest SRBMiner, który jest hostowany na GitHub. Chociaż SRBMiner jest ostatecznie przeznaczony do wydobywania tokena XRP, który jest częścią blockchainu Ripple, należy pamiętać, że XRP jest tokenem bitym i dlatego nie można go wydobywać. Jednak SRBMiner wykorzystuje również algorytmy takie jak RandomX i KawPow, które mogą generować tokeny takie jak Monero, Ravencoin, Haven Protocol, Wownero i Firo. Uważa się, że napastnicy wydobywają przede wszystkim Monero, ponieważ token ten jest bardzo poszukiwany przez cyberprzestępców ze względu na jego funkcje prywatności i anonimowości.
Zalecenia dotyczące zabezpieczania serwerów Docker API
Eksperci ds. bezpieczeństwa firmy Trend Micro zalecają zabezpieczanie zdalnych serwerów API platformy Docker za pomocą silniejszych mechanizmów kontroli dostępu i uwierzytelniania. Użytkownicy powinni regularnie monitorować swoje serwery pod kątem nietypowej aktywności i wdrażać najlepsze praktyki w celu ochrony kontenerów. Ponieważ ta kampania dotycząca złośliwego oprogramowania jest zgodna z podobną działalnością udokumentowaną wcześniej przez CrowdStrike w marcu 2023 r., organizacje muszą ponownie rozważyć i dostosować swoje środki bezpieczeństwa.
Więcej informacji na temat aktualnych zagrożeń związanych z samorozprzestrzeniającym się złośliwym oprogramowaniem można znaleźć na stronie IT Boltwise I TechRadar.