Alertă roșie: noul malware transformă serverele Docker în criptomineri!

Alertă roșie: noul malware transformă serverele Docker în criptomineri!

O nouă campanie de programe malware vizează în mod special instanțe API Docker configurate greșit și le folosește pentru a crea o rețea de bot ilegală pentru extragerea criptomonedei Dero. Cercetătorii de securitate de la Kaspersky au descoperit că un actor necunoscut de amenințări exploatează vulnerabilitățile din API-urile Docker publicate în mod nesigur. Malware-ul prezintă capacități asemănătoare viermilor care îi permit să se răspândească în alte instanțe Docker, făcându-l mult mai ușor de răspândit. Containerele compromise sunt folosite pentru a extrage criptomonede și pentru a efectua atacuri externe.

Atacul are loc prin două componente principale: un malware care se răspândește, care se mascadă drept un server web legitim nginx și caută API-uri Docker expuse și minerul de criptomonede Dero. Ambele componente sunt dezvoltate în Golang. Malware-ul își înregistrează activitățile, pornește minerul și generează subrețele aleatoare ale rețelei IPv4 pentru a identifica instanțe Docker vulnerabile suplimentare. În special, sunt vizate cazurile cu portul API standard 2375 deschis. Pe lângă mineritul dero, capacitatea malware-ului de a infecta containerele bazate pe Ubuntu este, de asemenea, alarmantă.

Abordare atipică a atacatorilor

Cercetătorii de securitate cibernetică de la Trend Micro raportează o „abordare neortodoxă” a acestor atacuri. Ei au descoperit că atacatorii vizează serverele API la distanță Docker vulnerabile și folosesc protocolul gRPC peste h2c pentru a ocoli soluțiile de securitate existente. În primul rând, atacatorii verifică disponibilitatea și versiunea API-ului Docker. Apoi trimit solicitări de actualizare a conexiunii gRPC/h2c pentru a manipula funcționalitatea Docker și a implementa sarcina utilă de minerit.

După actualizarea conexiunii, poate fi creat un container care va fi folosit pentru extragerea criptomonedei. Este utilizat SRBMiner, care este găzduit pe GitHub. Deși SRBMiner este destinat în cele din urmă să extragă jetonul XRP, care face parte din blockchain-ul Ripple, este important să rețineți că XRP este un jeton bătut și, prin urmare, nu poate fi extras. Cu toate acestea, SRBMiner folosește și algoritmi precum RandomX și KawPow, care pot genera token-uri precum Monero, Ravencoin, Haven Protocol, Wownero și Firo. Se crede că atacatorii minează în primul rând Monero, deoarece acest simbol este foarte căutat de infractorii cibernetici datorită caracteristicilor sale de confidențialitate și anonimat.

Recomandări pentru securizarea serverelor API Docker

Experții în securitate Trend Micro recomandă securizarea serverelor API la distanță Docker cu controale de acces și mecanisme de autentificare mai puternice. Utilizatorii ar trebui să își monitorizeze în mod regulat serverele pentru activități neobișnuite și să implementeze cele mai bune practici pentru a proteja containerele. Deoarece această campanie de malware este în concordanță cu activități similare documentate anterior de CrowdStrike în martie 2023, este esențial ca organizațiile să-și reconsidere și să își adapteze măsurile de siguranță.

Pentru mai multe informații despre amenințările malware actuale cu autopropagare, vizitați IT Boltwise şi TechRadar.