Hacker nutzen Docker-Api-Server aus, um Kryptowährungen zu schürfen
Eine ungewöhnliche Bedrohung für die Cybersicherheit hat die Experten von Trend Micro alarmiert. Hacker nutzen anfällige Docker-Remote-API-Server, um auf der Grundlage der hardwarebasierten Ressourcen Kryptowährungen zu schürfen.
Die Cybersicherheitsforscher haben bemerkt, dass die Kriminellen unkonventionelle Methoden einsetzen, um die Sicherheitslösungen zu umgehen und ihre Mining-Operationen auf dem Docker-Host auszuführen. Sie überprüfen zuerst die Verfügbarkeit und Version der Docker-API und senden dann Anfragen im gRPC-Protokoll über h2c nach Upgrade und gRPC-Methode zur Manipulation von Docker-Funktionen.
Das gRPC-Protokoll wird als Alternativmethode zum HTTP-Protokoll verwendet, um Docker-Containers zu erstellen und zu verwalten. Der Angreifer nutzt das gRPC-Protokoll, um die Authentifizierung und die Überwachung zu umgehen.
„Der Angreifer überprüft zunächst die Verfügbarkeit und Version der Docker-API und fuhr dann mit Anfragen nach gRPC/h2c-Upgrades und gRPC-Methoden zur Manipulation von Docker-Funktionen fort,“ sagte ein Experten von Trend Micro.
Die Kriminellen suchen nach öffentlich zugänglichen Docker-API-Hosts, auf denen das HTTP/2-Protokoll aktualisiert werden kann. Anschließend senden sie eine Anfrage für ein Upgrade auf das h2c-Protokoll, was ihnen nach Abschluss ermöglicht, einen Container zu erstellen. Dieser Container wird schließlich zum Schürfen von Kryptowährungen für die Angreifer verwendet.
Die Experten warnen, dass die Kriminellen SRBMiner, eine Software zur Kryptowährung-Schürfung, verwenden, um XRP-Tokens zu schürfen. Allerdings ist XRP ein geprägter Token, der nicht geschürft werden kann. Tatsächlich verwenden die Kriminellen SRBMiner zum Schürfen verschiedener Token, wie Monero, Ravencoin, Haven Protocol, Wownero und Firo.
Trend Micro warnt alle Benutzer, ihre Docker-Remote-API-Server durch die Implementierung strengerer Zugriffskontrollen und Authentifizierungsmechanismen zu sichern und so den Zugriff für nicht authentifizierte Personen zu sperren. Darüber hinaus wird Benutzern empfohlen, die Server auf ungewöhnliche Aktivitäten zu überwachen und Best Practices für die Containersicherheit zu implementieren.
Die Cybersicherheitsforscher von Trend Micro warnen vor der Bedrohung und raten, sich gegen diese Attacken zu schützen, um die Sicherheit der zugegründeten Ressourcen zu gewährleisten.
