Новости Киберпреступники атакуют серверы Docker API для криптомайнинга с помощью SRBMiner

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.958
Репутация
11.595
Реакции
61.822
RUB
50
Киберпреступники начали активно использовать уязвимости в удаленных API-серверах Docker для установки криптомайнера SRBMiner на скомпрометированные серверы.

Об этом сообщает компания Trend Micro в своем новом исследовании. Исследователи отметили, что злоумышленники используют протокол gRPC через h2c, чтобы обойти средства безопасности и запустить операции по майнингу криптовалют.

Киберпреступники атакуют серверы Docker API для криптомайнинга с помощью SRBMiner


Атака начинается с того, что злоумышленник проводит процесс поиска, чтобы проверить доступные публичные хосты Docker API и возможность обновления протокола HTTP/2. После этого они отправляют запрос на обновление соединения до протокола h2c (HTTP/2 без шифрования TLS). Затем злоумышленники исследуют методы gRPC, предназначенные для управления Docker-средой, включая проверку состояния, синхронизацию файлов и управление аутентификацией.

Когда сервер принимает запрос на обновление соединения, отправляется запрос gRPC «/moby.buildkit.v1.Control/Solve» для создания контейнера, который затем используется для майнинга криптовалюты XRP с помощью загрузки SRBMiner, размещенного на GitHub. Такой подход позволяет злоумышленникам обойти несколько уровней защиты, что делает систему уязвимой для нелегального майнинга.

Кроме того, Trend Micro сообщает, что злоумышленники также используют открытые серверы Docker API для установки вредоносного ПО perfctl. Этот процесс включает в себя создание Docker-контейнера с образом «ubuntu» и выполнение закодированного в Base64 полезного кода.

Эксперты настоятельно рекомендуют пользователям защищать свои серверы Docker, применяя строгие меры контроля доступа и аутентификации, а также следить за необычной активностью и соблюдать лучшие практики безопасности контейнеров.


 
Сверху Снизу