Τα API Docker συνεχίζουν να χρησιμοποιούνται για Cryptojacking

Τα API Docker συνεχίζουν να χρησιμοποιούνται για Cryptojacking

Τα εκτεθειμένα API Docker συνεχίζουν να χρησιμοποιούνται από τους εισβολείς για να δημιουργήσουν νέα κοντέινερ που εκτελούν κρυπτογράφηση για κακοπροαίρετο σκοπό.

Νωρίτερα αυτό το έτος είχαμε αναφέρει μία άλλη περίπτωση όπου οι επιτιθέμενοι χρησιμοποιούσαν ανασφαλείς συστήματα Docker και Kubernetes για να αναπτύξουν κοντέινερ που χρησιμεύουν για την εξόρυξη κρυπτονομισμάτων.

Για όσους δεν είναι εξοικειωμένοι με τα κοντέινερ, είναι πακέτα που περιέχουν μια εφαρμογή και όλες τις εξαρτήσεις που απαιτούνται για την εκτέλεση τους. Αυτά τα πακέτα μπορούν στη συνέχεια να αναπτυχθούν ως κοντέινερ σε συστήματα Docker ή Kubernetes.

Τα κοντέινερ Docker αναπτύσσονται σε μια πλατφόρμα που ονομάζεται Docker Engine, όπου εκτελούνται στο παρασκήνιο μαζί με άλλα κοντέινερ στο σύστημα. Εάν το Docker Engine δεν είναι σωστά ασφαλισμένο, τότε οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν από απόσταση το API του για να αναπτύξουν κοντέινερ της δικής τους δημιουργίας και να τα ξεκινήσουν να τρέχουν στο ανασφαλές σύστημα.

Η Trend Micro έχει εντοπίσει πρόσφατα ένα άγνωστο εισβολέα που σάρωνεεκτεθειμένα API Docker Engine και τα χρησιμοποιούσε για την ανάπτυξη κοντέινερ που κατεβάζουν και εκτελούν τα coin miner.

Όταν το κοντέινερ εγκατασταθεί και ενεργοποιηθεί, θα ξεκινήσει ένα script τύπου auto.sh που θα κατεβάσει ένα miner του Monero και έπειτα θα το ρυθμίσει ώστε να ξεκινήσει αυτόματα. Μεταξύ άλλων, το script θα κατεβάσει επίσης και ένα λογισμικό σάρωσης θύρας, το οποίο θα σαρώνει και για άλλες ευάλωτες παρουσίες του Docker Engine στις θύρες 2375 και 2376 με την προοπτική να προσπαθήσει να εξαπλωθεί περαιτέρω, με γνώμονα να προκαλέσει ακόμη περισσότερο ζημιά.

Η κατάχρηση API του Docker Engine δεν είναι κάτι καινούργιο, αλλά εξακολουθεί να αποτελεί σοβαρό πρόβλημα, επειδή οι διαχειριστές δεν κλειδώνουν σωστά τα συστήματά τους. Για να αποτρέψει τους επιτιθέμενους από την εκμετάλλευση μη ασφαλών εφαρμογών του Docker Engine, η Trend Micro προτείνει στους διαχειριστές να λάβουν τα απαραίτητα μέτρα και να βρίσκονται συνεχώς σε εγρήγορση γιατί οι κυβερνοεγκληματίες ανανεώνουν διαρκώς τις τακτικές τους.