Hacker greifen anfällige Docker-Remote-API-Server an, um Kryptowährungen zu schürfen

Hacker haben es auf anfällige Docker-Remote-API-Server abgesehen und nutzen sie, um Kryptowährungen auf der zugrunde liegenden Hardware zu schürfen, warnen Experten.

Hackers are targeting vulnerable Docker remote API servers, and using them to mine cryptocurrencies on the underlying hardware, experts have warned.

Hacker haben es auf anfällige Docker-Remote-API-Server abgesehen und nutzen sie, um Kryptowährungen auf der zugrunde liegenden Hardware zu schürfen, warnen Experten.

Cybersecurity researchers from Trend Micro stated the crooks took an “unconventional approach” with this attack, noting, "The threat actor used the gRPC protocol over h2c to evade security solutions and execute their crypto mining operations on the Docker host."

Cybersicherheitsforscher von Trend Micro gaben an, dass die Kriminellen bei diesem Angriff einen „unkonventionellen Ansatz“ gewählt hätten und bemerkten: „Der Bedrohungsakteur nutzte das gRPC-Protokoll über h2c, um Sicherheitslösungen zu umgehen und seine Krypto-Mining-Operationen auf dem Docker-Host auszuführen.“

"The attacker first checked the availability and version of the Docker API, then proceeds with requests for gRPC/h2c upgrades and gRPC methods to manipulate Docker functionalities."

„Der Angreifer überprüfte zunächst die Verfügbarkeit und Version der Docker-API und fuhr dann mit Anfragen nach gRPC/h2c-Upgrades und gRPC-Methoden zur Manipulation von Docker-Funktionen fort.“

Which tokens are they mining?

Welche Token schürfen sie?

The experts explained that the crooks would first seek out public-facing Docker API hosts where HTTP/2 protocol can be upgraded. Then, they would send out a request to upgrade to the h2c protocol which, after conclusion, allows them to create a container. That container is ultimately used to mine cryptocurrencies for the attackers, via the SRBMiner payload, hosted on GitHub.

Die Experten erklärten, dass die Kriminellen zunächst nach öffentlich zugänglichen Docker-API-Hosts suchen würden, auf denen das HTTP/2-Protokoll aktualisiert werden könne. Anschließend würden sie eine Anfrage für ein Upgrade auf das h2c-Protokoll senden, was ihnen nach Abschluss die Erstellung eines Containers ermöglicht. Dieser Container wird letztendlich zum Schürfen von Kryptowährungen für die Angreifer über die auf GitHub gehostete SRBMiner-Nutzlast verwendet.

The researchers added the crooks used SRBMiner to mine the XRP token, native to the Ripple blockchain built by the company of the same name. However, XRP is a minted token that cannot be mined. We asked Trend Micro for clarification.

Die Forscher fügten hinzu, dass die Kriminellen SRBMiner zum Schürfen des XRP-Tokens verwendeten, das ursprünglich aus der Ripple-Blockchain des gleichnamigen Unternehmens stammt. XRP ist jedoch ein geprägter Token, der nicht geschürft werden kann. Wir haben Trend Micro um Klarstellung gebeten.

SRBMiner uses algorithms like RandomX, KawPow for mining. It can generate a number of different tokens for its operators, but not XRP. Among the available tokens are Monero, Ravencoin, Haven Protocol, Wownero, and Firo.

SRBMiner verwendet Algorithmen wie RandomX und KawPow für das Mining. Es kann eine Reihe verschiedener Token für seine Betreiber generieren, nicht jedoch XRP. Zu den verfügbaren Token gehören Monero, Ravencoin, Haven Protocol, Wownero und Firo.

It’s safe to assume that the crooks were actually mining Monero, one of the most popular tokens among cybercriminals, given its advanced privacy and anonymity features. Monero is also commonly mined via the XMRig cryptojacker, and its ticker is XRM, quite close to XRP.

Man kann mit Sicherheit davon ausgehen, dass die Betrüger tatsächlich Monero schürfen, einen der beliebtesten Token unter Cyberkriminellen, da er über erweiterte Datenschutz- und Anonymitätsfunktionen verfügt. Monero wird üblicherweise auch über den Kryptojacker XMRig geschürft, und sein Ticker ist XRM, was XRP ziemlich ähnlich ist.

Trend Micro warned all users to secure their Docker remote API servers by implementing stronger access controls and authentication mechanisms, thus barring access to unauthenticated individuals. Furthermore, users are advised to monitor the servers for unusual activities, and implement best practices for container security.

Trend Micro warnte alle Benutzer, ihre Docker-Remote-API-Server durch die Implementierung strengerer Zugriffskontrollen und Authentifizierungsmechanismen zu sichern und so den Zugriff für nicht authentifizierte Personen zu sperren. Darüber hinaus wird Benutzern empfohlen, die Server auf ungewöhnliche Aktivitäten zu überwachen und Best Practices für die Containersicherheit zu implementieren.

Via The Hacker News

Über The Hacker News