VietNetwork.Vn

Theo phát hiện mới từ Trend Micro, những kẻ xấu đã nhắm mục tiêu vào các máy chủ API từ xa của Docker để triển khai trình khai thác tiền điện tử SRBMiner trên các phiên bản bị xâm phạm.

"Trong cuộc tấn công này, kẻ tấn công đã sử dụng giao thức gRPC qua h2c để trốn tránh các giải pháp bảo mật và thực hiện hoạt động khai thác tiền điện tử trên máy chủ Docker", các nhà nghiên cứu Abdelrahman Esmail và Sunil Bharti cho biết trong một báo cáo kỹ thuật được công bố ngày hôm nay.

"Đầu tiên, kẻ tấn công kiểm tra tính khả dụng và phiên bản của Docker API, sau đó tiến hành yêu cầu nâng cấp gRPC/h2c và phương thức gRPC để thao túng các chức năng của Docker."

Mọi chuyện bắt đầu khi kẻ tấn công thực hiện quy trình khám phá để kiểm tra các máy chủ API Docker công khai và tính khả dụng của các bản nâng cấp giao thức HTTP/2 để theo dõi yêu cầu nâng cấp kết nối lên giao thức h2c (tức là HTTP/2 không có mã hóa TLS).

Kẻ tấn công cũng tiến hành kiểm tra các phương thức gRPC được thiết kế để thực hiện nhiều tác vụ khác nhau liên quan đến việc quản lý và vận hành môi trường Docker, bao gồm các tác vụ liên quan đến kiểm tra tình trạng, đồng bộ hóa tệp, xác thực, quản lý bí mật và chuyển tiếp SSH.

Sau khi máy chủ xử lý yêu cầu nâng cấp kết nối, yêu cầu gRPC "/moby.buildkit.v1.Control/Solve" sẽ được gửi để tạo một vùng chứa , sau đó sử dụng vùng chứa này để khai thác tiền điện tử XRP bằng tải trọng SRBMiner được lưu trữ trên GitHub .


Các nhà nghiên cứu cho biết: "Trong trường hợp này, kẻ tấn công đã lợi dụng giao thức gRPC qua h2c, bỏ qua một số lớp bảo mật để triển khai trình khai thác tiền điện tử SRBMiner trên máy chủ Docker và khai thác tiền điện tử XRP một cách bất hợp pháp".

Tiết lộ này được đưa ra khi công ty an ninh mạng cho biết họ cũng quan sát thấy những kẻ tấn công khai thác các máy chủ API từ xa Docker bị lộ để triển khai phần mềm độc hại perfctl . Chiến dịch này bao gồm việc thăm dò các máy chủ như vậy, sau đó tạo một vùng chứa Docker với hình ảnh "ubuntu:mantic-20240405" và thực thi một tải trọng được mã hóa Base64.

Tập lệnh shell, ngoài việc kiểm tra và chấm dứt các phiên bản trùng lặp của chính nó, còn tạo ra một tập lệnh bash, tập lệnh này lại chứa một tải trọng được mã hóa Base64 khác có nhiệm vụ tải xuống tệp nhị phân độc hại ngụy trang thành tệp PHP ("avatar.php") và phân phối một tải trọng có tên là httpd, tương tự như báo cáo từ Aqua vào đầu tháng này.

Người dùng được khuyến nghị bảo mật máy chủ API từ xa của Docker bằng cách triển khai các cơ chế xác thực và kiểm soát truy cập mạnh mẽ để ngăn chặn truy cập trái phép, giám sát mọi hoạt động bất thường và triển khai các biện pháp bảo mật container tốt nhất.