Cyberprzestępcy nadal wykorzystują źle skonfigurowane instancje Dockera do wykonywania różnych złośliwych działań, takich jak instalowanie kopaczy kryptowaluty Monero, ostrzegają badacze bezpieczeństwa cybernetycznego. Trwająca kampania, która rozpoczęła się w zeszłym miesiącu, jest prowadzona przez grupę hakerską TeamTNT i została odkryta przez ekspertów ds. bezpieczeństwa z TrendMicro. „Wyeksponowane interfejsy API Dockera stały się częstym celem atakujących, ponieważ pozwalają im uruchamiać własny złośliwy kod z uprawnieniami roota na określonym hoście, jeśli nie bierze się pod uwagę względów bezpieczeństwa” – zauważają naukowcy. Według naukowców zainfekowany kontener pobiera różne narzędzia po wydobyciu i ruchach poprzecznych, w tym skrypty ucieczki kontenera, narzędzia do kradzieży danych uwierzytelniających i koparki kryptowalut.
Bazuj na poprzedniej kampanii
Według firmy TrendMicro podczas poprzedniej lipcowej kampanii ten sam cyberprzestępca zbierał dane uwierzytelniające Docker Hub. TrendMicro rozumie, że konta Docker Hub przejęte w poprzedniej kampanii są wykorzystywane w bieżącej kampanii do usuwania złośliwych obrazów Docker. W rzeczywistości TrendMicro donosi, że widział ponad 150.000 XNUMX pobrań obrazów ze złośliwych kont Docker Hub. Oprócz instalowania kopaczy kryptowalut, złośliwi aktorzy wyszukują inne podatne na ataki instancje Docker wystawione na działanie Internetu i wykonują ucieczki kontener-host, aby uzyskać dostęp do głównej sieci, w której znajdują się zainfekowane instancje Docker. TrendMicro zauważa również, że szukając innych podatnych na ataki instancji, cyberprzestępcy sprawdzają również porty zaobserwowane w poprzednich kampaniach rozproszonej odmowy usługi (DDoS). „Ten niedawny atak tylko podkreśla rosnące wyrafinowanie ataków na odsłonięte serwery, szczególnie przez zdolnych cyberprzestępców, takich jak TeamTNT, którzy wykorzystują przejęte dane uwierzytelniające użytkownika, aby odpowiedzieć na swoje złośliwe motywy” – konkludują badacze, zauważając, że ataki zostały już przeprowadzone. Docker, a konta biorące udział w tym ataku zostały usunięte. Chroń swoje serwery za pomocą jednej z tych najlepszych aplikacji i usług zapory ogniowej i upewnij się, że na komputerach działają te najlepsze narzędzia do ochrony punktów końcowych, aby bronić się przed wszystkimi rodzajami ataków.