Киберпреступники атакуют серверы Docker API для криптомайнинга с помощью SRBMiner

23.10.2024

Киберпреступники начали активно использовать уязвимости в удаленных API-серверах Docker для установки криптомайнера SRBMiner на скомпрометированные серверы. Об этом сообщает компания Trend Micro в своем новом исследовании. Исследователи отметили, что злоумышленники используют протокол gRPC через h2c, чтобы обойти средства безопасности и запустить операции по майнингу криптовалют.

Атака начинается с того, что злоумышленник проводит процесс поиска, чтобы проверить доступные публичные хосты Docker API и возможность обновления протокола HTTP/2. После этого они отправляют запрос на обновление соединения до протокола h2c (HTTP/2 без шифрования TLS). Затем злоумышленники исследуют методы gRPC, предназначенные для управления Docker-средой, включая проверку состояния, синхронизацию файлов и управление аутентификацией.

Когда сервер принимает запрос на обновление соединения, отправляется запрос gRPC «/moby.buildkit.v1.Control/Solve» для создания контейнера, который затем используется для майнинга криптовалюты XRP с помощью загрузки SRBMiner, размещенного на GitHub. Такой подход позволяет злоумышленникам обойти несколько уровней защиты, что делает систему уязвимой для нелегального майнинга.

Кроме того, Trend Micro сообщает, что злоумышленники также используют открытые серверы Docker API для установки вредоносного ПО perfctl. Этот процесс включает в себя создание Docker-контейнера с образом «ubuntu» и выполнение закодированного в Base64 полезного кода. Эксперты настоятельно рекомендуют пользователям защищать свои серверы Docker, применяя строгие меры контроля доступа и аутентификации, а также следить за необычной активностью и соблюдать лучшие практики безопасности контейнеров.