Les pirates ciblent les serveurs API distants Docker vulnérables pour exploiter la crypto-monnaie

Les pirates ciblent les serveurs API distants Docker vulnérables et les utilisent pour extraire des crypto-monnaies sur le matériel sous-jacent, ont averti les experts.

Hackers are targeting vulnerable Docker remote API servers, and using them to mine cryptocurrencies on the underlying hardware, experts have warned.

Les pirates ciblent les serveurs API distants Docker vulnérables et les utilisent pour extraire des crypto-monnaies sur le matériel sous-jacent, ont averti les experts.

Cybersecurity researchers from Trend Micro stated the crooks took an “unconventional approach” with this attack, noting, "The threat actor used the gRPC protocol over h2c to evade security solutions and execute their crypto mining operations on the Docker host."

Les chercheurs en cybersécurité de Trend Micro ont déclaré que les escrocs avaient adopté une « approche non conventionnelle » avec cette attaque, notant : « L'acteur malveillant a utilisé le protocole gRPC sur h2c pour échapper aux solutions de sécurité et exécuter ses opérations de crypto mining sur l'hôte Docker. »

"The attacker first checked the availability and version of the Docker API, then proceeds with requests for gRPC/h2c upgrades and gRPC methods to manipulate Docker functionalities."

"L'attaquant a d'abord vérifié la disponibilité et la version de l'API Docker, puis procède aux demandes de mises à niveau gRPC/h2c et aux méthodes gRPC pour manipuler les fonctionnalités de Docker."

Which tokens are they mining?

Quels jetons extraient-ils ?

The experts explained that the crooks would first seek out public-facing Docker API hosts where HTTP/2 protocol can be upgraded. Then, they would send out a request to upgrade to the h2c protocol which, after conclusion, allows them to create a container. That container is ultimately used to mine cryptocurrencies for the attackers, via the SRBMiner payload, hosted on GitHub.

Les experts ont expliqué que les escrocs chercheraient d’abord des hôtes d’API Docker publics sur lesquels le protocole HTTP/2 peut être mis à niveau. Ensuite, ils enverraient une demande de mise à niveau vers le protocole h2c qui, une fois terminé, leur permettrait de créer un conteneur. Ce conteneur est finalement utilisé pour extraire des crypto-monnaies pour les attaquants, via la charge utile SRBMiner, hébergée sur GitHub.

The researchers added the crooks used SRBMiner to mine the XRP token, native to the Ripple blockchain built by the company of the same name. However, XRP is a minted token that cannot be mined. We asked Trend Micro for clarification.

Les chercheurs ont ajouté que les escrocs avaient utilisé SRBMiner pour exploiter le jeton XRP, natif de la blockchain Ripple construite par la société du même nom. Cependant, XRP est un jeton créé qui ne peut pas être exploité. Nous avons demandé des éclaircissements à Trend Micro.

SRBMiner uses algorithms like RandomX, KawPow for mining. It can generate a number of different tokens for its operators, but not XRP. Among the available tokens are Monero, Ravencoin, Haven Protocol, Wownero, and Firo.

SRBMiner utilise des algorithmes comme RandomX, KawPow pour le minage. Il peut générer un certain nombre de jetons différents pour ses opérateurs, mais pas XRP. Parmi les jetons disponibles figurent Monero, Ravencoin, Haven Protocol, Wownero et Firo.

It’s safe to assume that the crooks were actually mining Monero, one of the most popular tokens among cybercriminals, given its advanced privacy and anonymity features. Monero is also commonly mined via the XMRig cryptojacker, and its ticker is XRM, quite close to XRP.

Il est raisonnable de supposer que les escrocs exploitaient en réalité Monero, l'un des jetons les plus populaires parmi les cybercriminels, compte tenu de ses fonctionnalités avancées de confidentialité et d'anonymat. Monero est également couramment exploité via le cryptojacker XMRig, et son ticker est XRM, assez proche de XRP.

Trend Micro warned all users to secure their Docker remote API servers by implementing stronger access controls and authentication mechanisms, thus barring access to unauthenticated individuals. Furthermore, users are advised to monitor the servers for unusual activities, and implement best practices for container security.

Trend Micro a averti tous les utilisateurs de sécuriser leurs serveurs API distants Docker en mettant en œuvre des contrôles d'accès et des mécanismes d'authentification plus stricts, interdisant ainsi l'accès aux personnes non authentifiées. De plus, il est conseillé aux utilisateurs de surveiller les serveurs pour détecter toute activité inhabituelle et de mettre en œuvre les meilleures pratiques en matière de sécurité des conteneurs.

Via The Hacker News

Via l'actualité des hackers