Хакеры TeamTNT нацелены на ваши плохо настроенные серверы Docker

18
Хакеры используют ошибку Microsoft MSHTML, чтобы украсть кредиты Google и Instagram

Плохо настроенные серверы Docker и активно становятся целью хакерской группы TeamTNT в рамках продолжающейся кампании, начатой ​​в прошлом месяце.

Согласно отчету исследователей TrendMicro, участники преследуют три разные цели: установить криптомайнеры Monero, сканировать другие уязвимые экземпляры Docker, доступные в Интернете, и выполнить переход от контейнера к хосту для доступа к основной сети.

Как показано в рабочем процессе атаки, атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API.

Затем TeamTNT использует скомпрометированные или контролируемые субъектом учетные записи Docker Hub для размещения вредоносных образов и их развертывания на целевом хосте.

В рамках этой кампании компания TrendMicro зафиксировала более 150 000 загрузок образов из вредоносных учетных записей Docker Hub.

Затем сброшенный контейнер выполняет cronjobs и извлекает различные инструменты постэксплуатации и бокового перемещения, включая сценарии экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты.

При сканировании других уязвимых экземпляров злоумышленники проверяют порты 2375, 2376, 2377, 4243, 4244, что наблюдалось в прошлых кампаниях DDoS-ботнетов.

Акторы также пытаются собрать информацию о сервере, такую ​​как тип ОС, архитектура, количество ядер ЦП, реестр контейнеров и текущий статус участия в рое.

Создаваемый образ контейнера основан на системе AlpineOS и выполняется с флагами, разрешающими разрешения корневого уровня на базовом хосте.

Наконец, IP-адрес, который используется для текущей инфраструктуры TeamTNT (45 [.] 9 [.] 148 [.] 182), был связан с несколькими доменами, которые обслуживали вредоносное ПО в прошлом.

Предыдущая кампания заложила основу

TrendMicro сообщает, что в этой кампании также используются взломанные учетные записи Docker Hub, контролируемые TeamTNT, для удаления вредоносных образов Docker.

Использование скомпрометированных учетных записей Docker Hub делает точки распространения более надежными для участников, поскольку их сложнее сопоставить, сообщить и удалить.

Актеры были замечены сборщиками учетных данных Docker Hub в ходе предыдущей кампании, проанализированной TrendMicro в июле, когда в ходе атак использовались кражи учетных данных.

«Наше исследование TeamTNT в июле 2021 года показало, что группа ранее использовала средства для кражи учетных данных, которые собирали учетные данные из файлов конфигурации. Возможно, именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке», — поясняет опубликованное сегодня исследование TrendMicro .

Таким образом, TeamTNT демонстрирует высокий уровень оперативного планирования, организованного и целенаправленного в своих целях.

Постоянная угроза для систем Docker

TeamTNT — сложный субъект, который постоянно совершенствует свои методы, смещает фокус краткосрочного таргетинга, но остается постоянной угрозой для уязвимых систем Docker.

Впервые они создали червя для массового использования Docker и Kubernetes еще в августе 2020 года.

В октябре 2020 года актеры добавили возможности майнинга Monero и кражи учетных данных, нацеленные на экземпляры Docker.

В январе 2021 года TeamTNT обновила свои майнеры с помощью сложных уловок с уклонением от обнаружения, продолжая собирать учетные данные пользователей со скомпрометированных серверов.

Docker предоставляет несколько «обязательных» советов, которые можно использовать для блокировки REST API Docker и предотвращения подобных атак.

«Поэтому обязательно защищать конечные точки API с помощью HTTPS и сертификатов . Также рекомендуется обеспечить доступ к ним только из доверенной сети или VPN», — поясняет руководство по безопасности Docker .

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here