Pelaku jahat telah diamati menargetkan server API jarak jauh Docker untuk menyebarkan penambang kripto SRBMiner pada instance yang disusupi, menurut temuan baru dari Trend Micro.
“Dalam serangan ini, pelaku ancaman menggunakan protokol gRPC melalui h2c untuk menghindari solusi keamanan dan menjalankan operasi penambangan kripto mereka di host Docker,” kata peneliti Abdelrahman Esmail dan Sunil Bharti dalam laporan teknis yang diterbitkan hari ini.
“Penyerang pertama-tama memeriksa ketersediaan dan versi Docker API, kemudian melanjutkan dengan permintaan peningkatan gRPC/h2c dan metode gRPC untuk memanipulasi fungsi Docker.”
Semuanya dimulai dengan penyerang yang melakukan proses penemuan untuk memeriksa host Docker API yang dapat dilihat publik dan ketersediaan peningkatan protokol HTTP/2 untuk menindaklanjuti permintaan peningkatan koneksi ke protokol h2c (yaitu, HTTP/2 tanpa TLS enkripsi).
Musuh juga mulai memeriksa metode gRPC yang dirancang untuk menjalankan berbagai tugas yang berkaitan dengan pengelolaan dan pengoperasian lingkungan Docker, termasuk yang terkait dengan pemeriksaan kesehatan, sinkronisasi file, autentikasi, manajemen rahasia, dan penerusan SSH.
Setelah server memproses permintaan peningkatan koneksi, permintaan gRPC “/moby.buildkit.v1.Control/Solve” dikirim untuk membuat container dan kemudian menggunakannya untuk menambang mata uang kripto XRP menggunakan payload SRBMiner yang dihosting di GitHub.
“Pelaku jahat dalam kasus ini memanfaatkan protokol gRPC melalui h2c, secara efektif melewati beberapa lapisan keamanan untuk menyebarkan penambang kripto SRBMiner di host Docker dan menambang mata uang kripto XRP secara ilegal,” kata para peneliti.
Pengungkapan ini terjadi ketika perusahaan keamanan siber tersebut mengatakan pihaknya juga mengamati penyerang yang mengeksploitasi server API jarak jauh Docker yang terekspos untuk menyebarkan malware perfctl. Kampanye ini memerlukan penyelidikan untuk server tersebut, diikuti dengan membuat kontainer Docker dengan gambar “ubuntu:mantic-20240405” dan mengeksekusi payload yang dikodekan Base64.
Skrip shell, selain memeriksa dan menghentikan duplikat instance itu sendiri, membuat skrip bash yang, pada gilirannya, berisi payload berkode Base64 lain yang bertanggung jawab untuk mengunduh biner berbahaya yang menyamar sebagai file PHP (“avatar.php”) dan mengirimkan a payload bernama httpd, menggemakan laporan dari Aqua awal bulan ini.
Pengguna disarankan untuk mengamankan server API jarak jauh Docker dengan menerapkan kontrol akses yang kuat dan mekanisme otentikasi untuk mencegah akses tidak sah, memantau aktivitas yang tidak biasa, dan menerapkan praktik terbaik keamanan kontainer.