Uočeni su loši hakeri koji ciljaju na Docker udaljene API servere kako bi implementirali SRBMiner kripto rudar na kompromitovane instance, prema novim otkrićima Trend Micro-a.
“U ovom napadu, haker je koristio gRPC protokol preko h2c-a kako bi izbjegao sigurnosna rješenja i izvršio svoje operacije rudarenja kriptovaluta na Docker hostu”, rekli su istraživači Abdelrahman Esmail i Sunil Bharti u tehničkom izvještaju objavljenom danas.
“Napadač je prvo provjerio dostupnost i verziju Docker API-ja, a zatim nastavlja sa zahtjevima za nadogradnjom gRPC/h2c i gRPC metodama za manipulaciju Docker funkcionalnostima.”
Sve počinje tako što napadač provodi proces otkrivanja kako bi provjerio da li postoje javni Docker API hostovi i dostupnost nadogradnji HTTP/2 protokola kako bi slijedio zahtjev za nadogradnju veze na h2c protokol (tj. HTTP/2 bez TLS-a šifriranje).
Protivnik takođe nastavlja s provjerom gRPC metoda koje su dizajnirane za izvršavanje različitih zadataka koji se odnose na upravljanje i rad Docker okruženja, uključujući one koji se odnose na provjere zdravlja, sinhronizaciju datoteka, autentifikaciju, upravljanje tajnama i SSH prosljeđivanje.
Nakon što server obradi zahtjev za nadogradnju veze, šalje se gRPC zahtjev “/moby.buildkit.v1.Control/Solve” za kreiranje kontejnera, a zatim ga koristi za rudarenje XRP kriptovalute pomoću SRBMiner korisnog opterećenja hostiranog na GitHubu.
„Maliciozni haker u ovom slučaju koristio je gRPC protokol preko h2c, efektivno zaobilazeći nekoliko sigurnosnih slojeva kako bi implementirao SRBMiner kripto rudar na Docker host i ilegalno rudario XRP kriptovalutu“, rekli su istraživači.
Ovo otkrivanje dolazi nakon što je kompanija za cyber sigurnost rekla da je takođe primijetila kako napadači iskorištavaju otkrivene Docker udaljene API servere za implementaciju perfctl malwarea. Kampanja podrazumijeva ispitivanje takvih servera, nakon čega slijedi kreiranje Docker kontejnera sa slikom “ubuntu:mantic-20240405” i izvršavanje Base64 kodiranog korisnog opterećenja.
Shell skripta, osim što provjerava i ukida duple instance same sebe, kreira bash skriptu koja zauzvrat sadrži još jedan korisni teret kodiran u Base64 odgovoran za preuzimanje maliciozni binarnog fajla koji se maskira kao PHP fajl (“avatar.php”) i isporučuje payload pod nazivom httpd, ponavljajući izvještaj iz Aqua-e ranije ovog mjeseca.
Korisnicima se preporučuje da osiguraju Docker udaljene API servere implementacijom jakih kontrola pristupa i mehanizama provjere autentičnosti kako bi spriječili neovlašteni pristup, nadgledali ih za sve neobične aktivnosti i implementirali najbolje prakse za sigurnost kontejnera.
Izvor:The Hacker News