Исследователи Trend Micro недавно обнаружили злоумышленника, использующего неправильно настроенные удаленные API-серверы Docker для развертывания криптомайнера SRBMiner и добычи криптовалюты XRP.
SRBMiner Cryptominer
Атака использовала протокол gRPC по протоколу h2c (HTTP/2 с открытым текстом) для обхода мер безопасности и выполнения вредоносных действий на хосте Docker. Сначала злоумышленник проверял доступность API Docker, после чего запрашивал обновления по протоколу gRPC/h2c и использовал методы gRPC для манипулирования функциями Docker. Добившись успеха, злоумышленник загружал криптомайнер SRBMiner с GitHub и начинал майнинговые операции, связанные с его кошельком.
Этот инцидент подчеркивает риски, связанные с открытыми удаленными API Docker, поскольку злоумышленники могут использовать эти уязвимости для получения несанкционированного доступа и проведения криптомайнинга. Расширяющееся использование таких протоколов, как gRPC, в подобных атаках подчеркивает, что организациям необходимо тщательно защищать контейнерные платформы и функции удаленного управления, чтобы предотвратить подобные взломы.
Indicators of Compromise
IPv4
- 59.93.45.16
IPv4 Port Combinations
- 167.71.194.227:3333
URLs
- https://github.com/doktor83/SRBMiner-Multi/releases/download/2.5.8/SRBMiner-Multi-2-5-8-Linux.tar.g
SHA256
- 0d4eb69b551cb538a9a4c46f7b57906a47bcabb8ef8a5d245584fbba09fc5084
