Er zijn slechte actoren waargenomen die zich richten op externe API-servers van Docker om de SRBMiner-cryptominer in te zetten op gecompromitteerde instanties, volgens nieuwe bevindingen van Trend Micro.
“Bij deze aanval gebruikte de bedreigingsacteur het gRPC-protocol via h2c om beveiligingsoplossingen te omzeilen en zijn cryptomining-operaties uit te voeren op de Docker-host”, aldus onderzoekers Abdelrahman Esmail en Sunil Bharti in een technisch rapport dat vandaag is gepubliceerd.
“De aanvaller controleerde eerst de beschikbaarheid en versie van de Docker API en gaat vervolgens verder met verzoeken om gRPC/h2c-upgrades en gRPC-methoden om Docker-functionaliteiten te manipuleren.”
Het begint allemaal met het feit dat de aanvaller een detectieproces uitvoert om te controleren op openbare Docker API-hosts en de beschikbaarheid van HTTP/2-protocolupgrades om vervolgens een verbindingsupgradeverzoek naar het h2c-protocol (dwz HTTP/2 zonder TLS) op te volgen. encryptie).
De tegenstander gaat ook op zoek naar gRPC-methoden die zijn ontworpen om verschillende taken uit te voeren met betrekking tot het beheren en exploiteren van Docker-omgevingen, waaronder taken die verband houden met gezondheidscontroles, bestandssynchronisatie, authenticatie, geheimenbeheer en SSH-forwarding.
Zodra de server het verzoek om een verbindingsupgrade heeft verwerkt, wordt een gRPC-verzoek “/moby.buildkit.v1.Control/Solve” verzonden om een container te maken en deze vervolgens te gebruiken om de XRP-cryptocurrency te minen met behulp van de SRBMiner-payload die op GitHub wordt gehost.
“De kwaadwillende actor maakte in dit geval gebruik van het gRPC-protocol via h2c, waarbij hij effectief verschillende beveiligingslagen omzeilde om de SRBMiner-cryptominer op de Docker-host in te zetten en illegaal XRP-cryptocurrency te minen”, aldus de onderzoekers.
De onthulling komt op het moment dat het cyberbeveiligingsbedrijf zei dat het ook aanvallers had waargenomen die blootliggende Docker externe API-servers misbruikten om de perfctl-malware in te zetten. De campagne omvat het zoeken naar dergelijke servers, gevolgd door het maken van een Docker-container met de afbeelding “ubuntu:mantic-20240405” en het uitvoeren van een Base64-gecodeerde payload.
Het shell-script creëert, naast het controleren en beëindigen van dubbele exemplaren van zichzelf, een bash-script dat op zijn beurt een andere Base64-gecodeerde payload bevat die verantwoordelijk is voor het downloaden van een kwaadaardig binair bestand dat zich voordoet als een PHP-bestand (“avatar.php”) en een payload genaamd httpd, in navolging van een rapport van Aqua eerder deze maand.
Gebruikers wordt aangeraden Docker externe API-servers te beveiligen door krachtige toegangscontroles en authenticatiemechanismen te implementeren om ongeoorloofde toegang te voorkomen, deze te controleren op ongebruikelijke activiteiten en best practices voor containerbeveiliging te implementeren.
