Cercetătorii în securitate cibernetică au descoperit o nouă campanie de cryptojacking care vizează API-ul Docker Engine în încercarea de a transforma instanța compromisă într-un Docker Swarm malițios, controlat de atacatori. Folosind caracteristicile de orchestrare ale Docker Swarm, atacatorii își mențin controlul și pot executa miner-ul de criptomonede XMRig și alte sarcini malițioase.
TL;DR
- O campanie de cryptojacking vizează API-ul Docker Engine.
- Folosesc Docker Swarm pentru a controla instanțele compromise.
- Descarcă și execută sarcini malițioase precum miner-ul de criptomonede XMRig.
- Detectează API-uri Docker neautentificate folosind unelte precum masscan și ZGrab.
- Se extinde lateral spre alte gazde Docker, Kubernetes și SSH.
Ce este cryptojacking-ul și de ce este periculos
Cryptojacking-ul implică folosirea neautorizată a resurselor computerului pentru a mina criptomonede. Aceasta poate încetini performanța sistemului și poate duce la costuri energetice sporite. În acest caz, atacatorii vizează API-ul Docker pentru a prelua controlul asupra instanțelor și a le folosi pentru mining de criptomonede.
Cum funcționează atacul
- Accesul inițial: Atacatorii folosesc unelte de scanare pe internet, precum masscan și ZGrab, pentru a găsi endpoint-uri API Docker neautentificate.
- Compromiterea containerelor: Odată ce un endpoint vulnerabil este găsit, atacatorii folosesc API-ul Docker pentru a crea un container Alpine și a descărca un script de inițializare de pe un server de la distanță.
- Execuția sarcinilor malițioase: Scriptul inițial descarcă și instalează minerul de criptomonede XMRig, folosind rootkit-ul libprocesshider pentru a ascunde procesul malițios.
Extinderea laterală
Atacatorii folosesc script-uri suplimentare pentru a compromite alte gazde din rețea:
- Spread_docker_local.sh: Scanează rețelele LAN pentru alte noduri Docker vulnerabile și creează containere noi malițioase.
- Spread_ssh.sh: Compromite servere SSH adăugând chei SSH și creând utilizatori noi pentru acces persistent.
- Kube.lateral.sh: Se mișcă lateral către gazde Kubernetes compromitând nodurile asociate.
Protecție și măsuri de prevenire
Pentru a vă proteja împotriva atacurilor de cryptojacking, este esențial să:
- Securizați API-urile Docker: Asigurați-vă că toate endpoint-urile API sunt autentificate și nu sunt expuse publicului.
- Monitorizați activitățile neobișnuite: Utilizați instrumente de monitorizare pentru a detecta comportamentele anormale pe rețea.
- Implementați măsuri de securitate pentru containere: Asigurați integritatea și securitatea configurărilor Docker și Kubernetes.
Vulnerabilitățile din serviiciile precum Docker și Kubernetes rămân atractive pentru atacatorii care efectuează campanii de cryptojacking la scară largă. Asigurarea configurărilor și monitorizarea continuă sunt esențiale pentru prevenirea acestor atacuri.
Sursa articolului:
https://thehackernews.com/2024/10/new-cryptojacking-attack-targets-docker.html
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
