Suche
Mein Konto
Červené upozornenie: Nový malvér premení servery Docker na baníkov kryptomien!
Nová kampaň proti malvéru využíva nezabezpečené rozhrania API dokovacích staníc pre kryptojacking, ciele Dero a Monero. Bezpečnostní výskumníci varujú!
Červené upozornenie: Nový malvér premení servery Docker na baníkov kryptomien!
Nová kampaň proti malvéru sa špecificky zameriava na nesprávne nakonfigurované inštancie rozhrania API Docker a používa ich na vytvorenie nelegálnej siete botov na ťažbu kryptomeny Dero. Bezpečnostní výskumníci zo spoločnosti Kaspersky zistili, že neznámy aktér hrozieb využíva zraniteľné miesta v nezabezpečene publikovaných Docker API. Malvér vykazuje schopnosti podobné červom, ktoré mu umožňujú šíriť sa do iných inštancií Dockeru, čo uľahčuje jeho šírenie. Kompromitované kontajnery sa používajú na ťažbu kryptomien a vykonávanie vonkajších útokov.
K útoku dochádza prostredníctvom dvoch hlavných komponentov: šíriaceho sa malvéru, ktorý sa vydáva za legitímny webový server nginx a hľadá odhalené Docker API, a ťažobníka kryptomien Dero. Obe zložky sú vyvinuté v Golangu. Malvér zaznamenáva svoje aktivity, spúšťa baníka a generuje náhodné podsiete siete IPv4 na identifikáciu ďalších zraniteľných inštancií Docker. Zamerané sú najmä prípady so štandardným otvoreným portom API 2375. Okrem dero miningu je alarmujúca aj schopnosť malvéru infikovať kontajnery založené na Ubuntu.
Atypický prístup útočníkov
Výskumníci v oblasti kybernetickej bezpečnosti zo spoločnosti Trend Micro uvádzajú „neortodoxný prístup“ k týmto útokom. Zistili, že útočníci sa zameriavajú na zraniteľné vzdialené servery API Docker a využívajú protokol gRPC cez h2c na obídenie existujúcich bezpečnostných riešení. Najprv útočníci skontrolujú dostupnosť a verziu Docker API. Potom posielajú požiadavky na inováciu pripojenia gRPC/h2c, aby mohli manipulovať s funkcionalitou Docker a implementovať svoje ťažobné zaťaženie.
Po inovácii pripojenia je možné vytvoriť kontajner, ktorý bude slúžiť na ťažbu kryptomien. Používa sa SRBMiner, ktorý je hosťovaný na GitHub. Aj keď je SRBMiner v konečnom dôsledku určený na ťažbu tokenu XRP, ktorý je súčasťou blockchainu Ripple, je dôležité poznamenať, že XRP je razený token, a preto ho nemožno ťažiť. SRBMiner však používa aj algoritmy ako RandomX a KawPow, ktoré dokážu generovať tokeny ako Monero, Ravencoin, Haven Protocol, Wownero a Firo. Predpokladá sa, že útočníci primárne ťažia Monero, keďže tento token je veľmi vyhľadávaný počítačovými zločincami kvôli jeho funkciám ochrany súkromia a anonymity.
Odporúčania na zabezpečenie serverov Docker API
Odborníci na bezpečnosť Trend Micro odporúčajú zabezpečiť vzdialené servery API Docker pomocou silnejších kontrol prístupu a autentifikačných mechanizmov. Používatelia by mali na svojich serveroch pravidelne monitorovať nezvyčajnú aktivitu a implementovať osvedčené postupy na ochranu kontajnerov. Keďže táto kampaň proti malvéru je v súlade s podobnou aktivitou, ktorú predtým zdokumentoval CrowdStrike v marci 2023, je nevyhnutné, aby organizácie prehodnotili a prispôsobili svoje bezpečnostné opatrenia.
Ďalšie informácie o aktuálnych hrozbách škodlivého softvéru, ktoré sa šíria, nájdete na stránke IT Boltwise a TechRadar.