Recentemente, è stato scoperto che cybercriminali stanno sfruttando i server API remoti di Docker per attacchi di crypto mining utilizzando SRBMiner. Secondo quanto riportato da Trend Micro, questi attori malintenzionati usano il protocollo gRPC su h2c per eludere le soluzioni di sicurezza e avviare operazioni di mining sui server Docker compromessi. Gli aggressori iniziano verificando la disponibilità e la versione dell'API di Docker per poi procedere con richieste di aggiornamento a gRPC/h2c, manipolando le funzionalità di Docker.

L'attacco si avvia con una fase di scoperta in cui gli aggressori cercano host di Docker API con interfacce pubbliche e verificano la disponibilità di aggiornamenti del protocollo HTTP/2. Segue una richiesta di aggiornamento a h2c, ossia HTTP/2 senza crittografia TLS. Gli aggressori sfruttano i metodi gRPC per gestire le operazioni Docker, comprese le verifiche di integrità, la sincronizzazione dei file, l'autenticazione, la gestione dei segreti e il forwarding SSH.

Una volta che il server elabora la richiesta di aggiornamento della connessione, viene inviata una richiesta gRPC "/moby.buildkit.v1.Control/Solve" per creare un container. Tale container viene poi utilizzato per minare la criptovaluta XRP mediante il payload SRBMiner ospitato su GitHub. Questo metodo consente agli aggressori di bypassare più livelli di sicurezza e di eseguire il mining di criptovalute in modo illecito sui host Docker.

La divulgazione di questi attacchi giunge mentre la stessa azienda di sicurezza informatica ha rilevato tentativi di sfruttamento di server API remoti di Docker per il deployment di malware perfctl. Questa campagna prevede la creazione di un container Docker con l'immagine "ubuntu:mantic-20240405" e l'esecuzione di un payload codificato in Base64. Lo script shell controlla e termina istanze duplicate di sé stesso, creando a sua volta uno script bash che include un altro payload Base64 responsabile del download di un binario malevolo camuffato come file PHP ("avatar.php") che distribuisce un payload chiamato httpd.

Misure di protezione

Per proteggersi da tali minacce, è consigliato implementare controlli di accesso robusti e meccanismi di autenticazione sui server API remoti di Docker, monitorare attività sospette e applicare le migliori pratiche di sicurezza per i container. Queste misure possono aiutare a prevenire accessi non autorizzati e garantire un ambiente Docker sicuro.