Röd varning: Ny skadlig programvara förvandlar Docker-servrar till kryptogruvarbetare!

Röd varning: Ny skadlig programvara förvandlar Docker-servrar till kryptogruvarbetare!

En ny skadlig kampanj riktar sig specifikt mot felkonfigurerade Docker API-instanser och använder dem för att skapa ett olagligt botnätverk för utvinning av kryptovalutan Dero. Säkerhetsforskare på Kaspersky har upptäckt att en okänd hotaktör utnyttjar sårbarheter i osäkert publicerade Docker API:er. Skadlig programvara uppvisar maskliknande funktioner som gör att den kan sprida sig till andra Docker-instanser, vilket gör det mycket lättare att sprida. Kompromissade behållare används för att bryta kryptovalutor och utföra externa attacker.

Attacken sker genom två huvudkomponenter: en spridande skadlig kod som maskerar sig som en legitim nginx-webbserver och letar efter exponerade Docker API:er, och Dero cryptocurrency miner. Båda komponenterna är utvecklade i Golang. Skadlig programvara loggar sina aktiviteter, startar gruvarbetaren och genererar slumpmässiga IPv4-nätverksundernät för att identifiera ytterligare sårbara Docker-instanser. I synnerhet riktas in sig på instanser med standard API-port 2375 öppen. Förutom dero mining är skadlig programvaras förmåga att infektera Ubuntu-baserade behållare också alarmerande.

Otypiskt tillvägagångssätt av angriparna

Cybersäkerhetsforskare vid Trend Micro rapporterar ett "oortodoxt förhållningssätt" till dessa attacker. De upptäckte att angripare riktar sig mot sårbara Docker fjärr-API-servrar och utnyttjar gRPC-protokollet över h2c för att kringgå befintliga säkerhetslösningar. Först kontrollerar angriparna tillgängligheten och versionen av Docker API. De skickar sedan förfrågningar om att uppgradera gRPC/h2c-anslutningen för att manipulera Docker-funktionalitet och implementera deras mining-nyttolast.

Efter att ha uppgraderat anslutningen kan en behållare skapas som kommer att användas för brytning av kryptovaluta. SRBMiner används, som är värd på GitHub. Även om SRBMiner i slutändan är avsedd för utvinning av XRP-token, som är en del av Ripple-blockkedjan, är det viktigt att notera att XRP är en minted token och därför inte kan mineras. SRBMiner använder dock även algoritmer som RandomX och KawPow, som kan generera tokens som Monero, Ravencoin, Haven Protocol, Wownero och Firo. Man tror att angripare i första hand bryter Monero, eftersom denna token är mycket eftertraktad av cyberbrottslingar på grund av dess integritets- och anonymitetsfunktioner.

Rekommendationer för att säkra Docker API-servrar

Trend Micros säkerhetsexperter rekommenderar att du säkrar Docker fjärr-API-servrar med starkare åtkomstkontroller och autentiseringsmekanismer. Användare bör regelbundet övervaka sina servrar för ovanlig aktivitet och implementera bästa praxis för att skydda behållare. Eftersom denna skadliga kampanj överensstämmer med liknande aktivitet som tidigare dokumenterats av CrowdStrike i mars 2023, är det viktigt att organisationer omprövar och anpassar sina säkerhetsåtgärder.

För mer information om aktuella självspridande skadliga hot, besök IT Boltwise och TechRadar.