红色警报：新恶意软件将 Docker 服务器变成加密矿工！

红色警报：新恶意软件将 Docker 服务器变成加密矿工！

一个新的恶意软件活动专门针对配置错误的 Docker API 实例，并使用它们创建非法机器人网络来挖掘加密货币 Dero。卡巴斯基安全研究人员发现，未知威胁者正在利用不安全发布的 Docker API 中的漏洞。该恶意软件表现出类似蠕虫的功能，使其能够将自身传播到其他 Docker 实例，从而使其更容易传播。受损的容器用于挖掘加密货币并进行外部攻击。

该攻击通过两个主要组件发生：伪装成合法 nginx Web 服务器并寻找暴露的 Docker API 的传播恶意软件，以及 Dero 加密货币挖矿程序。这两个组件都是用 Golang 开发的。该恶意软件会记录其活动、启动挖矿程序并生成随机 IPv4 网络子网以识别其他易受攻击的 Docker 实例。特别是，开放标准 API 端口 2375 的实例会成为目标。除了 dero 挖矿之外，该恶意软件感染基于 Ubuntu 的容器的能力也令人担忧。

攻击者的非典型方法

趋势科技的网络安全研究人员报告了针对这些攻击的“非正统方法”。他们发现攻击者瞄准了易受攻击的 Docker 远程 API 服务器，并利用 h2c 上的 gRPC 协议绕过现有的安全解决方案。首先，攻击者检查 Docker API 的可用性和版本。然后，他们发送升级 gRPC/h2c 连接的请求，以便操纵 Docker 功能并实现其挖掘负载。

升级连接后，可以创建一个用于加密货币挖掘的容器。使用 SRBMiner，它托管在 GitHub 上。尽管 SRBMiner 最终旨在挖掘 XRP 代币（XRP 代币是 Ripple 区块链的一部分），但需要注意的是，XRP 是铸造代币，因此无法开采。不过，SRBMiner 还使用 RandomX 和 KawPow 等算法，可以生成 Monero、Ravencoin、Haven Protocol、Wownero 和 Firo 等代币。据信，攻击者主要开采门罗币，因为这种代币因其隐私和匿名功能而受到网络犯罪分子的高度追捧。

关于保护 Docker API 服务器的建议

趋势科技安全专家建议使用更强大的访问控制和身份验证机制来保护 Docker 远程 API 服务器。用户应定期监控服务器是否有异常活动，并实施最佳实践来保护容器。由于此恶意软件活动与 CrowdStrike 于 2023 年 3 月记录的类似活动一致，因此组织必须重新考虑并调整其安全预防措施。

有关当前自我传播恶意软件威胁的更多信息，请访问 IT 螺栓式 和 科技雷达 。