Exploração de serviços API Docker para SRBMiner Crypto Mining para ataques

Sticky 22/10/2024
exploit Docker remote API
Visualizações: 4

Atores ruins foram observados visando o Docker servidores API remotos para implantar o minerador de criptografia SRBMiner em instâncias comprometidas, de acordo com novas descobertas da Trend Micro.

“Neste ataque, o ator da ameaça usou o gRPC protocolo sobre h2c para evitar soluções de segurança e executar suas operações de mineração de criptografia no host do Docker”, os pesquisadores Abdelrahman Esmail e Sunil Bharti disse em um relatório técnico publicado hoje.

“O invasor primeiro verificou a disponibilidade e a versão da API do Docker e, em seguida, procede com solicitações de atualizações gRPC/h2c e métodos gRPC para manipular as funcionalidades do Docker.”

Tudo começa com o invasor conduzindo um processo de descoberta para verificar se há hosts de API do Docker voltados para o público e a disponibilidade de atualizações de protocolo HTTP/2 para acompanhar uma solicitação de atualização de conexão para o protocolo h2c (ou seja, HTTP/2 sem criptografia TLS).

O adversário também passa a verificar se há métodos gRPC que são projetados para realizar várias tarefas relacionadas ao gerenciamento e operação de ambientes Docker, incluindo aquelas relacionadas a verificações de integridade, sincronização de arquivos, autenticação, gerenciamento de segredos e encaminhamento SSH.

Uma vez que o servidor processa a solicitação de atualização de conexão, um “/moby.buildkit.v1.Control/Solve” gRPC pedido é enviado para criar um contêiner e então use-o para minerar a criptomoeda XRP usando a carga útil SRBMiner hospedado no GitHub.

Captura de tela 2024 10 22 115604

“O ator malicioso, neste caso, alavancou o protocolo gRPC em relação ao h2c, ignorando efetivamente várias camadas de segurança para implantar o minerador de criptografia SRBMiner no host Docker e minerar ilicitamente a criptomoeda XRP”, disseram os pesquisadores.

A divulgação vem como a empresa de segurança cibernética disse que também observado invasores que exploram servidores de API remotos expostos do Docker para implantar o perfctl malware. A campanha envolve a sondagem de tais servidores, seguida pela criação de um contêiner Docker com a imagem “ubuntu:mantic-20240405” e a execução de uma carga útil codificada no Base64.

O script shell, além de verificar e encerrar instâncias duplicadas de si mesmo, cria um script bash que, por sua vez, contém outra carga útil codificada no Base64 responsável por baixar um binário malicioso que se disfarça como um arquivo PHP (“avatar.php”) e entrega uma carga útil chamada httpd, ecoando um relatório do Aqua no início deste mês.

Recomenda-se que os usuários protejam os servidores de API remotos do Docker implementando controles de acesso fortes e mecanismos de autenticação para impedir o acesso não autorizado, monitorá-los para quaisquer atividades incomuns e implementar práticas recomendadas de segurança de contêiner.

Fonte: thehackernews.com

A Host Curitiba é uma empresa fundada em Fevereiro de 2004 iniciando suas atividades em rede em 31/07/2008 e especializada em segurança Web e Servidores Empresariais.

DataCenter:
Av. São Paulo, 1223. João Pessoa, Paraíba - Brasil CEP: 58.030-040
Registro CNPJ: 09.452.853/0001-39

Provedor?
Rua: Clávio Molinari, 1298 Capão da Imbuia - Curitiba Paraná CE: 82810210
Registro: 20.962.496/0001-91

Central de Atendimento ao Cliente:
Atendimento (41) 9 9555-8123
Suporte técnico (11) 9 3333-6326

https://www.hostcuritiba.com.br | https://www.hostcuritiba.net.br
contato@hostcuritiba.net.br - suporte@hostcuritiba.net.br - abuse@hostcuritiba.net.br

Outros artigos

outlook-bug

Bug Crítico no Microsoft Outlook agora é explorado em ataques cibernéticos

Sticky 07/02/2025

A CISA alertou as agências federais dos EUA na quinta-feira para proteger seus sistemas contra ataques em andamento que visam uma vulnerabilidade crítica de execução remota de código (RCE) do Microsoft Outlook. Descoberta pelo pesquisador de vulnerabilidades da Check Point, Haifei Li, e rastreada como CVE-2024-21413 , a falha é causada por validação de entrada inadequada ao […]

ranwomware

Novo ‘Helldown’ Ransomware expande ataques para sistemas VMware e Linux

Sticky 19/11/2024

Os pesquisadores de segurança cibernética lançaram luz sobre uma variante do Linux de uma cepa de ransomware relativamente nova chamada Helldown, sugerindo que os agentes de ameaças estão ampliando seu foco de ataque. “Helldown implanta Windows ransomware derivado do código LockBit 3.0,” Sekoia disse em um relatório compartilhado com o The Hacker News. “Dado o recente desenvolvimento […]

dstat

Polícia da Alemanha interrompe plataforma DDoS dstat e prende suspeitos

Sticky 04/11/2024

As autoridades policiais alemãs anunciaram a interrupção de um serviço criminoso chamado dstat[.]cc, que possibilitou que outros agentes de ameaças realizassem facilmente ataques distribuídos de negação de serviço (DDoS). “A plataforma tornou esses ataques DDoS acessíveis a uma ampla gama de usuários, mesmo aqueles sem nenhuma habilidade técnica aprofundada”, disse o Departamento Federal de Polícia Criminal (também […]