Foram observados maus atores visando servidores API remotos do Docker para implantar o criptominerador SRBMiner em instâncias comprometidas, de acordo com novas descobertas da Development Micro.
“Neste ataque, o agente da ameaça usou o protocolo gRPC sobre h2c para escapar das soluções de segurança e executar suas operações de mineração de criptografia no host Docker”, disseram os pesquisadores Abdelrahman Esmail e Sunil Bharti em um relatório técnico publicado hoje.
“O invasor primeiro verificou a disponibilidade e a versão da API Docker e, em seguida, prossegue com solicitações de atualizações gRPC/h2c e métodos gRPC para manipular as funcionalidades do Docker.”
Tudo começa com o invasor conduzindo um processo de descoberta para verificar hosts da API Docker voltados ao público e a disponibilidade de atualizações do protocolo HTTP/2, a fim de seguir com uma solicitação de atualização de conexão para o protocolo h2c (ou seja, HTTP/2 sem TLS criptografia).
O adversário também verifica métodos gRPC projetados para realizar diversas tarefas relacionadas ao gerenciamento e operação de ambientes Docker, incluindo aquelas relacionadas a verificações de integridade, sincronização de arquivos, autenticação, gerenciamento de segredos e encaminhamento de SSH.
Depois que o servidor processa a solicitação de atualização de conexão, uma solicitação gRPC “/moby.buildkit.v1.Management/Remedy” é enviada para criar um contêiner e, em seguida, usá-lo para extrair a criptomoeda XRP usando a carga SRBMiner hospedada no GitHub.
“O ator malicioso, neste caso, aproveitou o protocolo gRPC sobre h2c, contornando efetivamente várias camadas de segurança para implantar o criptominerador SRBMiner no host Docker e extrair a criptomoeda XRP ilicitamente”, disseram os pesquisadores.
A divulgação ocorre no momento em que a empresa de segurança cibernética disse que também observou invasores explorando servidores API remotos Docker expostos para implantar o malware perfctl. A campanha envolve a investigação de tais servidores, seguida da criação de um contêiner Docker com a imagem “ubuntu:mantic-20240405” e da execução de uma carga útil codificada em Base64.
O shell script, além de verificar e encerrar instâncias duplicadas de si mesmo, cria um script bash que, por sua vez, contém outra carga útil codificada em Base64 responsável por baixar um binário malicioso que se disfarça como um arquivo PHP (“avatar.php”) e entrega um carga útil chamada httpd, ecoando um relatório da Aqua no início deste mês.
Recomenda-se que os usuários protejam os servidores API remotos do Docker, implementando controles de acesso fortes e mecanismos de autenticação para evitar acesso não autorizado, monitorá-los em busca de atividades incomuns e implementar práticas recomendadas de segurança de contêineres.
