Οι servers Docker που δεν έχουν ρυθμιστεί σωστά στοχοποιούνται ενεργά από την ομάδα hacking TeamTNT σε μια συνεχιζόμενη καμπάνια που ξεκίνησε τον περασμένο μήνα.
Δείτε επίσης: Αυτό το πακέτο παρέχει όλες τις γνώσεις white hat hacking που θέλετε
Σύμφωνα με μια έκθεση ερευνητών της TrendMicro, οι χάκερ έχουν τρεις στόχους: να εγκαταστήσουν Monero cryptominers, να σαρώσουν για άλλα ευάλωτα instances Docker που εκτίθενται στο Διαδίκτυο και να πραγματοποιήσουν “container-to-host escapes” για πρόσβαση στο κύριο δίκτυο.
Όπως φαίνεται σε ένα attack workflow, η επίθεση ξεκινά με τη δημιουργία ενός container στον ευάλωτο host χρησιμοποιώντας ένα εκτεθειμένο Docker REST API.
Η ομάδα TeamTNT χρησιμοποιεί στη συνέχεια λογαριασμούς Docker Hub που έχουν παραβιαστεί ή ελέγχονται από χάκερ για να φιλοξενήσει κακόβουλες εικόνες και να τις αναπτύξει σε έναν στοχευμένο host.
Η TrendMicro έχει δει πάνω από 150.000 pulls of images από τους κακόβουλους λογαριασμούς Docker Hub ως μέρος αυτής της καμπάνιας.
Στη συνέχεια, το container που πέφτει εκτελεί cronjob και φέρνει διάφορα εργαλεία post-exploitation και πλευρικής κίνησης, συμπεριλαμβανομένων container escaping scripts, κλέφτες credential και cryptocurrency miners.
Κατά τη σάρωση για άλλα ευάλωτα instances, οι απειλητικοί παράγοντες ελέγχουν τις θύρες 2375, 2376, 2377, 4243, 4244, κάτι που έχει παρατηρηθεί σε προηγούμενες καμπάνιες botnet DDoS.
Δείτε επίσης: Συνελήφθη ομάδα που ξέπλενε χρήματα για ρωσικές ομάδες hacking
Οι χάκερ προσπαθούν επίσης να συλλέξουν πληροφορίες server, όπως ο τύπος του λειτουργικού συστήματος, η αρχιτεκτονική, ο αριθμός των πυρήνων της CPU, το container registry και η τρέχουσα κατάσταση swarm participation.
Το container image που δημιουργείται βασίζεται στο σύστημα AlpineOS και εκτελείται με flags που επιτρέπουν δικαιώματα σε επίπεδο root στον υποκείμενο host.
Δείτε επίσης: Ομάδα hacking Fin7: Μεταμφιέζεται ως εταιρεία και στρατολογεί ταλέντα
Τέλος, η διεύθυνση IP που χρησιμοποιείται για την τρέχουσα υποδομή της TeamTNT (45[.]9[.]148[.]182) έχει συσχετιστεί με πολλά domains που πρόσφεραν κακόβουλο λογισμικό στο παρελθόν.
Πηγή πληροφοριών: bleepingcomputer.com
