Rdeče opozorilo: nova zlonamerna programska oprema spremeni Docker strežnike v kripto rudarje!

Rdeče opozorilo: nova zlonamerna programska oprema spremeni Docker strežnike v kripto rudarje!

Nova kampanja zlonamerne programske opreme posebej cilja na napačno konfigurirane primerke API-ja Docker in jih uporablja za ustvarjanje nezakonitega omrežja botov za rudarjenje kriptovalute Dero. Varnostni raziskovalci pri družbi Kaspersky so odkrili, da neznan akter grožnje izkorišča ranljivosti v nevarno objavljenih API-jih Docker. Zlonamerna programska oprema ima zmogljivosti, podobne črvom, ki ji omogočajo, da se razširi na druge primerke Dockerja, zaradi česar je širjenje veliko lažje. Ogroženi vsebniki se uporabljajo za rudarjenje kriptovalut in izvajanje zunanjih napadov.

Do napada pride prek dveh glavnih komponent: razširljive zlonamerne programske opreme, ki se maskira kot zakonit spletni strežnik nginx in išče izpostavljene API-je Docker, in rudarja kriptovalute Dero. Obe komponenti sta razviti v Golangu. Zlonamerna programska oprema beleži svoje dejavnosti, zažene rudar in ustvari naključna omrežna podomrežja IPv4, da prepozna dodatne ranljive instance Dockerja. Ciljane so zlasti instance z odprtimi standardnimi vrati API 2375. Poleg dero rudarjenja je zaskrbljujoča tudi sposobnost zlonamerne programske opreme, da okuži vsebnike, ki temeljijo na Ubuntuju.

Netipičen pristop napadalcev

Raziskovalci kibernetske varnosti pri Trend Micro poročajo o "neortodoksnem pristopu" do teh napadov. Odkrili so, da napadalci ciljajo na ranljive oddaljene API strežnike Docker in izkoriščajo protokol gRPC prek h2c, da zaobidejo obstoječe varnostne rešitve. Najprej napadalci preverijo razpoložljivost in različico API-ja Docker. Nato pošljejo zahteve za nadgradnjo povezave gRPC/h2c, da manipulirajo s funkcionalnostjo Dockerja in izvajajo svojo rudarsko korist.

Po nadgradnji povezave se lahko ustvari vsebnik, ki se bo uporabljal za rudarjenje kriptovalut. Uporablja se SRBMiner, ki gostuje na GitHubu. Čeprav je SRBMiner končno namenjen rudarjenju žetona XRP, ki je del verige blokov Ripple, je pomembno upoštevati, da je XRP kovan žeton in ga zato ni mogoče rudariti. Vendar SRBMiner uporablja tudi algoritme, kot sta RandomX in KawPow, ki lahko ustvarita žetone, kot so Monero, Ravencoin, Haven Protocol, Wownero in Firo. Domneva se, da napadalci rudarijo predvsem Monero, saj je ta žeton zaradi zasebnosti in anonimnosti zelo iskan s strani kibernetskih kriminalcev.

Priporočila za zaščito strežnikov Docker API

Strokovnjaki za varnost Trend Micro priporočajo zaščito oddaljenih API strežnikov Docker z močnejšim nadzorom dostopa in mehanizmi za preverjanje pristnosti. Uporabniki bi morali redno spremljati svoje strežnike glede neobičajne dejavnosti in izvajati najboljše prakse za zaščito vsebnikov. Ker je ta kampanja zlonamerne programske opreme skladna s podobno dejavnostjo, ki jo je predhodno dokumentiral CrowdStrike marca 2023, je nujno, da organizacije ponovno pretehtajo in prilagodijo svoje varnostne ukrepe.

Za več informacij o trenutnih grožnjah zlonamerne programske opreme, ki se samo razmnožujejo, obiščite IT Boltwise in TechRadar.