Ataques observados têm como alvo servidores Docker remote API para implantar o minerador de criptomoedas SRBMiner em instâncias comprometidas, de acordo com novas descobertas da Trend Micro.
"Neste ataque, o agente de ameaça usou o protocolo gRPC sobre h2c para evadir soluções de segurança e executar suas operações de mineração de criptomoedas no host Docker," os pesquisadores Abdelrahman Esmail e Sunil Bharti disseram em um relatório técnico publicado hoje.
O atacante primeiro verificou a disponibilidade e versão da API Docker, e então procedeu com solicitações para upgrades gRPC/h2c e métodos gRPC para manipular funcionalidades Docker.
Tudo começa com o atacante conduzindo um processo de descoberta para verificar hosts Docker API voltados ao público e a disponibilidade de upgrades de protocolo HTTP/2 a fim de prosseguir com uma solicitação de upgrade de conexão para o protocolo h2c (ou seja, HTTP/2 sem criptografia TLS).
O adversário também prossegue verificando métodos gRPC que são projetados para realizar várias tarefas relacionadas à gestão e operação de ambientes Docker, incluindo aqueles relacionados a verificações de saúde, sincronização de arquivos, autenticação, gerenciamento de segredos e redirecionamento SSH.
Uma vez que o servidor processa a solicitação de upgrade de conexão, uma solicitação gRPC "/moby.buildkit.v1.Control/Solve" é enviada para criar um contêiner e então usá-lo para minerar a criptomoeda XRP usando o payload SRBMiner hospedado no GitHub.
"O ator malicioso neste caso se aproveitou do protocolo gRPC sobre h2c, efetivamente contornando várias camadas de segurança para implantar o minerador de criptomoedas SRBMiner no host Docker e minerar ilicitamente a criptomoeda XRP," disseram os pesquisadores.
A divulgação vem à medida que a empresa de cibersegurança disse também ter observado atacantes explorando servidores Docker remote API expostos para implantar o malware perfctl.
A campanha envolve sondar tais servidores, seguido pela criação de um contêiner Docker com a imagem "ubuntu:mantic-20240405" e executando um payload codificado em Base64.
O script shell, além de verificar e terminar instâncias duplicadas de si mesmo, cria um script bash que, por sua vez, contém outro payload codificado em Base64 responsável por baixar um binário malicioso que se disfarça como um arquivo PHP ("avatar.php") e entrega um payload denominado httpd, ecoando um relatório da Aqua no início deste mês.
Recomenda-se aos usuários proteger servidores Docker remote API implementando controles de acesso rigorosos e mecanismos de autenticação para prevenir acessos não autorizados, monitorá-los para qualquer atividade incomum e implementar melhores práticas de segurança de contêineres.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...