Trend Micro’nun yeni bulgularına göre, kötü aktörlerin SRBMiner kripto madencisini tehlikeye atılmış örneklere dağıtmak için Docker uzak API sunucularını hedef aldığı gözlemlendi.
Araştırmacılar Abdelrahman Esmail ve Sunil Bharti bugün yayınlanan teknik bir raporda, “Bu saldırıda tehdit aktörü, güvenlik çözümlerinden kaçmak ve kripto madenciliği operasyonlarını Docker ana bilgisayarında yürütmek için h2c üzerinden gRPC protokolünü kullandı.” dedi.
“Saldırgan önce Docker API’sinin kullanılabilirliğini ve sürümünü kontrol etti, ardından Docker işlevlerini değiştirmek için gRPC/h2c yükseltmeleri ve gRPC yöntemleri istekleriyle ilerledi.”
Her şey, saldırganın, halka açık Docker API ana bilgisayarlarını ve h2c protokolüne (örn. HTTP/2 sans TLS) bağlantı yükseltme isteğini takip etmek için HTTP/2 protokol yükseltmelerinin kullanılabilirliğini kontrol etmek üzere bir keşif süreci yürütmesiyle başlar. şifreleme).
Saldırgan ayrıca, durum kontrolleri, dosya senkronizasyonu, kimlik doğrulama, sır yönetimi ve SSH iletimi ile ilgili olanlar da dahil olmak üzere Docker ortamlarının yönetimi ve çalıştırılmasıyla ilgili çeşitli görevleri yerine getirmek üzere tasarlanmış gRPC yöntemlerini de kontrol etmeye devam ediyor.
Sunucu, bağlantı yükseltme isteğini işlediğinde, bir kapsayıcı oluşturmak ve ardından bunu GitHub’da barındırılan SRBMiner yükünü kullanarak XRP kripto para birimini çıkarmak için kullanmak için bir “/moby.buildkit.v1.Control/Solve” gRPC isteği gönderilir.
Araştırmacılar, “Bu vakada kötü niyetli aktör, h2c üzerinden gRPC protokolünü kullanarak, SRBMiner kripto madencisini Docker ana bilgisayarına dağıtmak ve XRP kripto para birimini yasadışı bir şekilde çıkarmak için çeşitli güvenlik katmanlarını etkili bir şekilde atladı” dedi.
Açıklama, siber güvenlik şirketinin, saldırganların perfctl kötü amaçlı yazılımını dağıtmak için açıktaki Docker uzak API sunucularından yararlandığını gözlemlediğini söylemesinin ardından geldi. Kampanya, bu tür sunucuların araştırılmasını, ardından “ubuntu:mantic-20240405” imajına sahip bir Docker kapsayıcısının oluşturulmasını ve Base64 kodlu bir veri yükünün yürütülmesini içeriyor.
Kabuk betiği, kendisinin yinelenen örneklerini kontrol edip sonlandırmanın yanı sıra, bir PHP dosyası (“avatar.php”) gibi görünen kötü amaçlı bir ikili dosyayı indirmekten sorumlu Base64 kodlu başka bir veri yükü içeren bir bash betiği oluşturur ve Bu ayın başlarında Aqua’dan gelen bir raporu hatırlatan httpd adlı veri yükü.
Kullanıcıların, yetkisiz erişimi önlemek için güçlü erişim kontrolleri ve kimlik doğrulama mekanizmaları uygulayarak Docker uzak API sunucularının güvenliğini sağlamaları, bunları olağandışı etkinliklere karşı izlemeleri ve konteyner güvenliği için en iyi uygulamaları uygulamaları önerilir.