.png)
SRBMiner Kripto Madenciliği Saldırıları için Docker API Sunucularından Yararlanan Siber Suçlular
Trend Micro'nun yeni bulgularına göre, kötü aktörlerin, SRBMiner kripto madencisini güvenliği ihlal edilmiş örneklere dağıtmak için Docker uzak API sunucularını hedef aldığı gözlemlendi.
Araştırmacılar Abdelrahman Esmail ve Sunil Bharti, bugün yayınlanan teknik bir raporda, "Bu saldırıda tehdit aktörü, güvenlik çözümlerinden kaçmak ve kripto madenciliği operasyonlarını Docker ana bilgisayarında yürütmek için h2c üzerinden gRPC protokolünü kullandı" dedi.
"Saldırgan önce Docker API'sinin kullanılabilirliğini ve sürümünü kontrol etti, ardından Docker işlevlerini manipüle etmek için gRPC/h2c yükseltmeleri ve gRPC yöntemleri için isteklerle devam etti."
Her şey, saldırganın h2c protokolüne bir bağlantı yükseltme isteğini (yani, HTTP/2 sans TLS şifrelemesi) takip etmek için halka açık Docker API ana bilgisayarlarını ve HTTP/2 protokol yükseltmelerinin kullanılabilirliğini kontrol etmek için bir keşif süreci yürütmesiyle başlar.
Düşman ayrıca durum denetimleri, dosya eşitleme, kimlik doğrulaması, gizli dizi yönetimi ve SSH iletme ile ilgili olanlar da dahil olmak üzere Docker ortamlarını yönetme ve çalıştırmayla ilgili çeşitli görevleri gerçekleştirmek için tasarlanmış gRPC yöntemlerini denetlemeye devam eder.
Sunucu bağlantı yükseltme isteğini işledikten sonra, bir kapsayıcı oluşturmak ve ardından GitHub'da barındırılan SRBMiner yükünü kullanarak XRP kripto para birimini çıkarmak için kullanmak için bir "/moby.buildkit.v1.Control/Solve" gRPC isteği gönderilir.
.jpg)
Araştırmacılar, "Bu davadaki kötü niyetli aktör, SRBMiner kripto madencisini Docker ana bilgisayarına dağıtmak ve XRP kripto para birimini yasa dışı olarak çıkarmak için birkaç güvenlik katmanını etkili bir şekilde atlayarak h2c üzerinden gRPC protokolünden yararlandı" dedi.
Açıklama, siber güvenlik şirketinin, saldırganların perfctl kötü amaçlı yazılımını dağıtmak için açıkta kalan Docker uzak API sunucularından yararlandığını da gözlemlediğini söylemesinin ardından geldi. Kampanya, bu tür sunucular için araştırma yapmayı, ardından "ubuntu:mantic-20240405" görüntüsüyle bir Docker kapsayıcısı oluşturmayı ve Base64 kodlu bir yük yürütmeyi gerektirir.
Kabuk betiği, kendisinin yinelenen örneklerini kontrol etmenin ve sonlandırmanın yanı sıra, bir PHP dosyası ("avatar.php") gibi görünen kötü amaçlı bir ikili dosyayı indirmekten sorumlu başka bir Base64 kodlu yük içeren bir bash betiği oluşturur ve bu ayın başlarında Aqua'dan gelen bir raporu yineleyerek httpd adlı bir yük sunar.
Kullanıcıların, yetkisiz erişimi önlemek, olağandışı etkinliklere karşı onları izlemek ve kapsayıcı güvenliği en iyi uygulamalarını uygulamak için güçlü erişim denetimleri ve kimlik doğrulama mekanizmaları uygulayarak Docker uzak API sunucularının güvenliğini sağlamaları önerilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı