Киберпреступная банда нацелена на плохо настроенные контейнеры Docker для добычи криптовалюты.

В октябре исследователи безопасности из компании Trend Micro обнаружили хакеров, нацеленных на плохо настроенные серверы с открытыми API-интерфейсами Docker REST, путем развертывания контейнеров из образов, выполняющих вредоносные сценарии.

Эти скрипты сделали три вещи. Во-первых, загруженные или связанные майнеры криптовалюты Monero. Во-вторых, они выполнили побег от контейнера к хосту, используя хорошо известные методы. Наконец, они провели сканирование в Интернете на предмет открытых портов из скомпрометированных контейнеров.

Скомпрометированные контейнеры кампании также пытались собрать информацию, такую ​​как операционная система сервера, установленный для использования реестр контейнеров, архитектура сервера, текущий статус участия в рое и количество ядер ЦП.

Чтобы получить более подробную информацию о неправильно настроенном сервере, например о времени безотказной работы и общем объеме доступной памяти, злоумышленники также запускают контейнеры с помощью docker-CLI, устанавливая флаг «--privileged», используя сетевое пространство имен базового хоста «--net =host »и монтировать корневую файловую систему базовых хостов по пути контейнера« / host ».

Исследователи обнаружили, что учетные записи реестра Docker Hub либо скомпрометированы, либо принадлежат TeamTNT.

«Эти учетные записи использовались для размещения вредоносных образов и были активной частью бот-сетей и вредоносных кампаний, которые злоупотребляли Docker REST API», - заявили исследователи. Затем они связались с Docker, чтобы удалить учетные записи.

Исследователи Trend Micro заявили, что те же хакеры также использовали средства для кражи учетных данных, которые собирали учетные данные из файлов конфигурации еще в июле. Исследователи полагают, что именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке.

«На основании выполняемых скриптов и инструментов, используемых для доставки майнеров, мы приходим к следующим выводам, связывающим эту атаку с TeamTNT», - заявили исследователи. «'Alpineos' (в общей сложности более 150 000 загрузок со всеми объединенными образами) - одна из основных учетных записей Docker Hub, активно используемых TeamTNT. Есть скомпрометированные учетные записи Docker Hub, которые контролируются TeamTNT для распространения вредоносного ПО для добычи монет ».

Исследователи заявили, что открытые интерфейсы прикладного программирования (API) Docker стали основными целями для злоумышленников. Это позволяет им выполнять свой вредоносный код с привилегиями root на целевом хосте, если не принимаются во внимание соображения безопасности.

«Эта недавняя атака лишь подчеркивает растущую изощренность, с которой уязвимые серверы становятся мишенью, особенно со стороны способных злоумышленников, таких как TeamTNT, которые используют скомпрометированные учетные данные пользователя для выполнения своих злонамеренных целей», - добавили они.