Понравилось? Поделитесь с друзьями!

Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API.

Специалисты из компании TrendMicro рассказали о новой вредоносной кампании, в ходе которой киберпреступная группировка TeamTNT атакует некорректно настроенные серверы Docker. 

Преступники преследуют три разные цели — установить майнеры криптовалюты Monero, сканировать Сеть на предмет других доступных уязвимых установок Docker и выполнить побег из контейнера для доступа к основной сети. 

Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Затем TeamTNT использует скомпрометированные учетные записи Docker Hub для размещения вредоносных образов и развертывания их на целевом хосте. В ходе анализа данной кампании эксперты TrendMicro зафиксировали более 150 тыс. загрузок вредоносных образов из учетных записей Docker Hub преступников. 

Затем контейнер выполняет задание cronjobs и извлекает различные инструменты постэксплуатации и перемещения по сети, включая скрипты экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты. 

При сканировании уязвимых экземпляров злоумышленники проверяют порты 2375, 2376, 2377, 4243, 4244, что наблюдалось в прошлых кампаниях группировки с использованием DDoS-ботнетов. Злоумышленники также пытаются собрать информацию о сервере, включая тип ОС, архитектуру, количество ядер ЦП, реестр контейнеров и пр. 

По словам экспертов, в данной кампании также используются взломанные учетные записи Docker Hub, контролируемые TeamTNT, для удаления вредоносных образов Docker. Использование скомпрометированных учетных записей Docker Hub обеспечивает хакерам безопасность, поскольку их сложнее сопоставить, сообщить и удалить. 

«Наше исследование TeamTNT в июле 2021 года показало, что группа ранее использовала средства для кражи учетных данных из файлов конфигурации. Возможно, именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке», — пояснили ИБ-эксперты.

Источник

Понравилось? Поделитесь с друзьями!
– Больше новостей – в нашем Телеграме –

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий
Пожалуйста, введите свое имя