해커들이 암호화폐를 채굴하기 위해 취약한 Docker 원격 API 서버를 표적으로 삼고 있습니다.

해커들이 취약한 Docker 원격 API 서버를 표적으로 삼고 이를 사용하여 기본 하드웨어에서 암호화폐를 채굴하고 있다고 전문가들이 경고했습니다.

Hackers are targeting vulnerable Docker remote API servers, and using them to mine cryptocurrencies on the underlying hardware, experts have warned.

해커들이 취약한 Docker 원격 API 서버를 표적으로 삼고 이를 사용하여 기본 하드웨어에서 암호화폐를 채굴하고 있다고 전문가들이 경고했습니다.

Cybersecurity researchers from Trend Micro stated the crooks took an “unconventional approach” with this attack, noting, "The threat actor used the gRPC protocol over h2c to evade security solutions and execute their crypto mining operations on the Docker host."

Trend Micro의 사이버 보안 연구원들은 사기꾼들이 이 공격에서 "전통적인 접근 방식"을 취했다고 밝혔습니다. "위협 행위자는 보안 솔루션을 회피하고 Docker 호스트에서 암호화폐 채굴 작업을 실행하기 위해 h2c를 통해 gRPC 프로토콜을 사용했습니다."

"The attacker first checked the availability and version of the Docker API, then proceeds with requests for gRPC/h2c upgrades and gRPC methods to manipulate Docker functionalities."

"공격자는 먼저 Docker API의 가용성과 버전을 확인한 다음 gRPC/h2c 업그레이드 및 Docker 기능을 조작하기 위한 gRPC 방법에 대한 요청을 진행합니다."

Which tokens are they mining?

그들은 어떤 토큰을 채굴하고 있나요?

The experts explained that the crooks would first seek out public-facing Docker API hosts where HTTP/2 protocol can be upgraded. Then, they would send out a request to upgrade to the h2c protocol which, after conclusion, allows them to create a container. That container is ultimately used to mine cryptocurrencies for the attackers, via the SRBMiner payload, hosted on GitHub.

전문가들은 사기꾼들이 먼저 HTTP/2 프로토콜을 업그레이드할 수 있는 공개 Docker API 호스트를 찾을 것이라고 설명했습니다. 그런 다음 h2c 프로토콜로 업그레이드하라는 요청을 보내며, 결론이 나면 컨테이너를 만들 수 있습니다. 해당 컨테이너는 궁극적으로 GitHub에서 호스팅되는 SRBMiner 페이로드를 통해 공격자를 위한 암호화폐를 채굴하는 데 사용됩니다.

The researchers added the crooks used SRBMiner to mine the XRP token, native to the Ripple blockchain built by the company of the same name. However, XRP is a minted token that cannot be mined. We asked Trend Micro for clarification.

연구원들은 사기꾼들이 SRBMiner를 사용하여 같은 이름의 회사가 구축한 Ripple 블록체인의 XRP 토큰을 채굴했다고 덧붙였습니다. 그러나 XRP는 채굴할 수 없는 발행 토큰입니다. 우리는 Trend Micro에 설명을 요청했습니다.

SRBMiner uses algorithms like RandomX, KawPow for mining. It can generate a number of different tokens for its operators, but not XRP. Among the available tokens are Monero, Ravencoin, Haven Protocol, Wownero, and Firo.

SRBMiner는 채굴을 위해 RandomX, KawPow와 같은 알고리즘을 사용합니다. 운영자를 위해 다양한 토큰을 생성할 수 있지만 XRP는 생성할 수 없습니다. 사용 가능한 토큰 중에는 Monero, Ravencoin, Haven Protocol, Woownero 및 Firo가 있습니다.

It’s safe to assume that the crooks were actually mining Monero, one of the most popular tokens among cybercriminals, given its advanced privacy and anonymity features. Monero is also commonly mined via the XMRig cryptojacker, and its ticker is XRM, quite close to XRP.

고급 개인 정보 보호 및 익명성 기능을 고려하면 사이버 범죄자들 사이에서 가장 인기 있는 토큰 중 하나인 모네로(Monero)를 사기꾼들이 실제로 채굴하고 있었다고 가정하는 것이 안전합니다. Monero는 일반적으로 XMRig 크립토재커를 통해 채굴되며 해당 티커는 XRP에 매우 가까운 XRM입니다.

Trend Micro warned all users to secure their Docker remote API servers by implementing stronger access controls and authentication mechanisms, thus barring access to unauthenticated individuals. Furthermore, users are advised to monitor the servers for unusual activities, and implement best practices for container security.

Trend Micro는 모든 사용자에게 더 강력한 액세스 제어 및 인증 메커니즘을 구현하여 Docker 원격 API 서버를 보호하고 인증되지 않은 개인에 대한 액세스를 금지하도록 경고했습니다. 또한 사용자는 서버에서 비정상적인 활동을 모니터링하고 컨테이너 보안을 위한 모범 사례를 구현하는 것이 좋습니다.

Via The Hacker News

해커 뉴스를 통해