{"id":1408618,"date":"2024-10-22T21:59:34","date_gmt":"2024-10-22T21:59:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/cibercriminales-explotan-los-servidores-api-de-docker-para-ataques-de-criptomineria-srbminer\/"},"modified":"2024-10-22T21:59:39","modified_gmt":"2024-10-22T21:59:39","slug":"cibercriminales-explotan-los-servidores-api-de-docker-para-ataques-de-criptomineria-srbminer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cibercriminales-explotan-los-servidores-api-de-docker-para-ataques-de-criptomineria-srbminer\/","title":{"rendered":"Cibercriminales explotan los servidores API de Docker para ataques de criptominer\u00eda SRBMiner"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad Docker\/Seguridad en la nube<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Cibercriminales-explotan-los-servidores-API-de-Docker-para-ataques-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se han observado malos actores apuntando a Docker <a rel=\"nofollow noopener\" href=\"https:\/\/docs.docker.com\/engine\/daemon\/remote-access\/\" target=\"_blank\">servidores API remotos<\/a> implementar el cripto minero SRBMiner en instancias comprometidas, seg\u00fan nuevos hallazgos de Trend Micro.<\/p>\n<p>&#8220;En este ataque, el actor de amenazas utiliz\u00f3 el <a rel=\"nofollow noopener\" href=\"https:\/\/grpc.io\/docs\/what-is-grpc\/introduction\/\" target=\"_blank\">gRPC<\/a> protocolo terminado <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/HTTP\/2\" target=\"_blank\">h2c<\/a> para evadir las soluciones de seguridad y ejecutar sus operaciones de criptominer\u00eda en el host Docker&#8221;, investigadores Abdelrahman Esmail y Sunil Bharti <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/j\/using-grpc-http-2-for-cryptominer-deployment.html\" target=\"_blank\">dicho<\/a> en un informe t\u00e9cnico publicado hoy.<\/p>\n<p>&#8220;El atacante primero verific\u00f3 la disponibilidad y la versi\u00f3n de la API de Docker, luego contin\u00faa con las solicitudes de actualizaciones de gRPC\/h2c y m\u00e9todos de gRPC para manipular las funcionalidades de Docker&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Todo comienza cuando el atacante realiza un proceso de descubrimiento para verificar los hosts de la API Docker de cara al p\u00fablico y la disponibilidad de actualizaciones del protocolo HTTP\/2 para continuar con una solicitud de actualizaci\u00f3n de conexi\u00f3n al protocolo h2c (es decir, HTTP\/2 sin TLS). cifrado).<\/p>\n<p>El adversario tambi\u00e9n procede a buscar m\u00e9todos gRPC que est\u00e9n dise\u00f1ados para llevar a cabo diversas tareas relacionadas con la gesti\u00f3n y operaci\u00f3n de entornos Docker, incluidas aquellas relacionadas con comprobaciones de estado, sincronizaci\u00f3n de archivos, autenticaci\u00f3n, gesti\u00f3n de secretos y reenv\u00edo SSH.<\/p>\n<p>Una vez que el servidor procesa la solicitud de actualizaci\u00f3n de la conexi\u00f3n, se env\u00eda una solicitud gRPC &#8220;\/moby.buildkit.v1.Control\/Solve&#8221; a <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/devops-tools\/article\/understanding-and-building-docker-images\/\" target=\"_blank\">crear un contenedor<\/a> y luego usarlo para extraer la criptomoneda XRP usando la carga \u00fatil SRBMiner <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/doktor83\/SRBMiner-Multi\" target=\"_blank\">alojado en GitHub<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729634373_56_Cibercriminales-explotan-los-servidores-API-de-Docker-para-ataques-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729634373_56_Cibercriminales-explotan-los-servidores-API-de-Docker-para-ataques-de.png\" alt=\"Ataques de criptominer\u00eda\" border=\"0\" data-original-height=\"1307\" data-original-width=\"2076\" title=\"Ataques de criptominer\u00eda\"\/><\/a><\/div>\n<p>&#8220;El actor malicioso en este caso aprovech\u00f3 el protocolo gRPC sobre h2c, evitando efectivamente varias capas de seguridad para implementar el cripto minero SRBMiner en el host Docker y extraer la criptomoneda XRP de manera il\u00edcita&#8221;, dijeron los investigadores.<\/p>\n<p>La divulgaci\u00f3n se produce cuando la empresa de ciberseguridad dijo que tambi\u00e9n <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/j\/attackers-target-exposed-docker-remote-api-servers-with-perfctl-.html\" target=\"_blank\">observado<\/a> Los atacantes explotan los servidores API remotos de Docker expuestos para implementar el malware perfctl. La campa\u00f1a implica buscar dichos servidores, seguido de la creaci\u00f3n de un contenedor Docker con la imagen &#8220;ubuntu:mantic-20240405&#8221; y la ejecuci\u00f3n de una carga \u00fatil codificada en Base64.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El script de shell, adem\u00e1s de verificar y finalizar instancias duplicadas de s\u00ed mismo, crea un script bash que, a su vez, contiene otra carga \u00fatil codificada en Base64 responsable de descargar un binario malicioso que se hace pasar por un archivo PHP (&#8220;avatar.php&#8221;) y entrega un carga \u00fatil llamada httpd, haci\u00e9ndose eco de un informe de Aqua a principios de este mes.<\/p>\n<p>Se recomienda a los usuarios proteger los servidores API remotos de Docker implementando fuertes controles de acceso y mecanismos de autenticaci\u00f3n para evitar el acceso no autorizado, monitorearlos para detectar actividades inusuales e implementar las mejores pr\u00e1cticas de seguridad de contenedores.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/cybercriminals-exploiting-docker-api.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de octubre de 2024\ue804Ravie LakshmananSeguridad Docker\/Seguridad en la nube Se han observado malos actores apuntando a Docker<\/p>\n","protected":false},"author":1,"featured_media":1408619,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,10367,2346,4661,217721,4664,3952,109530,8513,201033,36,4654,201031,4659,4653,4655,18,246983,255454,246984,7982,201032,259355,246982,4660],"class_list":["post-1408618","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-api","tag-ataques","tag-ataques-ciberneticos","tag-cibercriminales","tag-como-hackear","tag-criptomineria","tag-docker","tag-explotan","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-servidores","tag-software-malicioso-ransomware","tag-srbminer","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408618","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1408618"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1408618\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1408619"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1408618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1408618"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1408618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}