Se han observado malos actores apuntando a Docker servidores API remotos implementar el cripto minero SRBMiner en instancias comprometidas, según nuevos hallazgos de Trend Micro.
“En este ataque, el actor de amenazas utilizó el gRPC protocolo terminado h2c para evadir las soluciones de seguridad y ejecutar sus operaciones de criptominería en el host Docker”, investigadores Abdelrahman Esmail y Sunil Bharti dicho en un informe técnico publicado hoy.
“El atacante primero verificó la disponibilidad y la versión de la API de Docker, luego continúa con las solicitudes de actualizaciones de gRPC/h2c y métodos de gRPC para manipular las funcionalidades de Docker”.
Todo comienza cuando el atacante realiza un proceso de descubrimiento para verificar los hosts de la API Docker de cara al público y la disponibilidad de actualizaciones del protocolo HTTP/2 para continuar con una solicitud de actualización de conexión al protocolo h2c (es decir, HTTP/2 sin TLS). cifrado).
El adversario también procede a buscar métodos gRPC que estén diseñados para llevar a cabo diversas tareas relacionadas con la gestión y operación de entornos Docker, incluidas aquellas relacionadas con comprobaciones de estado, sincronización de archivos, autenticación, gestión de secretos y reenvío SSH.
Una vez que el servidor procesa la solicitud de actualización de la conexión, se envía una solicitud gRPC “/moby.buildkit.v1.Control/Solve” a crear un contenedor y luego usarlo para extraer la criptomoneda XRP usando la carga útil SRBMiner alojado en GitHub.
“El actor malicioso en este caso aprovechó el protocolo gRPC sobre h2c, evitando efectivamente varias capas de seguridad para implementar el cripto minero SRBMiner en el host Docker y extraer la criptomoneda XRP de manera ilícita”, dijeron los investigadores.
La divulgación se produce cuando la empresa de ciberseguridad dijo que también observado Los atacantes explotan los servidores API remotos de Docker expuestos para implementar el malware perfctl. La campaña implica buscar dichos servidores, seguido de la creación de un contenedor Docker con la imagen “ubuntu:mantic-20240405” y la ejecución de una carga útil codificada en Base64.
El script de shell, además de verificar y finalizar instancias duplicadas de sí mismo, crea un script bash que, a su vez, contiene otra carga útil codificada en Base64 responsable de descargar un binario malicioso que se hace pasar por un archivo PHP (“avatar.php”) y entrega un carga útil llamada httpd, haciéndose eco de un informe de Aqua a principios de este mes.
Se recomienda a los usuarios proteger los servidores API remotos de Docker implementando fuertes controles de acceso y mecanismos de autenticación para evitar el acceso no autorizado, monitorearlos para detectar actividades inusuales e implementar las mejores prácticas de seguridad de contenedores.