Em 22 de outubro de 2024, novos dados revelados pela Trend Micro indicam que agentes mal-intencionados estão explorando servidores de API do Docker expostos para implantar o minerador de criptomoedas SRBMiner. O ataque visa instâncias vulneráveis, utilizando o protocolo gRPC sobre h2c para burlar mecanismos de segurança e realizar operações ilícitas de mineração.
Cibercriminosos invadem servidores Docker para mineração ilegal de criptomoedas SRBMiner
Pesquisadores da Trend Micro, Abdelrahman Esmail e Sunil Bharti, explicam que o ataque começa com a verificação da disponibilidade e versão da API do Docker. Após essa identificação, o invasor envia solicitações de atualização utilizando gRPC/h2c e manipula funções do Docker, como criação de contêineres, para minerar criptomoedas como o XRP.
Como os ataques ocorrem
Os cibercriminosos realizam um processo inicial de descoberta, identificando servidores de API Docker expostos publicamente. Em seguida, utilizam o protocolo HTTP/2 sem criptografia TLS, conhecido como h2c, para solicitar a atualização da conexão. Isso permite que os atacantes acessem funções específicas do Docker, como verificações de integridade, sincronização de arquivos e gerenciamento de SSH, sem a necessidade de criptografia forte.
Notícias Relacionadas
Como usar os caixas eletrônicos de Bitcoin em Petrópolis Guia completo
Assim como os caixas eletrônicos tradicionais, os caixas de Bitcoin são um tipo de quiosque eletrônico onde os clientes podem realizar operações financeiras, mas são projetados para criptomoedas, não para dinheiro em espécie. Esses dispositivos são uma ferramenta essencial para investidores, empreendedores e proprietários de negócios. Eles permitem investimentos rápidos e operações em um sistema […]
Como Funcionam as Plataformas Que Aceitam Criptomoedas - Coinglambing.info
Em 2022 existiam no mercado mais de 22 mil diferentes tipos de criptomoedas, cada uma com seus valores e particularidades. Era só uma questão de tempo, até que os cassinos online entendessem a necessidade de adicioná-las aos seus métodos de pagamentos oferecidos, como podemos notar no Coingambling.info, dado a quantidade de casas de apostas passando […]
Após a atualização da conexão, o comando “/moby.buildkit.v1.Control/Solve” é acionado, permitindo a criação de contêineres e a execução do minerador SRBMiner. O código malicioso é carregado a partir do GitHub, iniciando a mineração de XRP no sistema comprometido.
Outras ameaças aos servidores Docker
Além do SRBMiner, a Trend Micro também identificou uma campanha que utiliza servidores de API Docker expostos para implantar o malware perfctl. Nesse caso, os invasores criam contêineres com a imagem “ubuntu”, utilizando scripts de shell codificados em Base64. Esses scripts terminam instâncias duplicadas, criam novos scripts bash e baixam binários maliciosos disfarçados como arquivos PHP.
Para mitigar esses riscos, especialistas recomendam o uso de controles de acesso rigorosos e autenticação robusta nos servidores Docker. Monitorar atividades suspeitas e seguir práticas recomendadas de segurança de contêineres também são essenciais para evitar a exploração.
