Исследователи кибербезопасности предупреждают, что злоумышленники продолжают использовать неправильно настроенные экземпляры Docker для выполнения различных вредоносных действий, таких как установка криптомайнеров Monero. Продолжающаяся кампания, начавшаяся в прошлом месяце, проводится хакерской группой TeamTNT и была обнаружена экспертами по безопасности из TrendMicro. «Открытые API-интерфейсы Docker стали обычными целями для злоумышленников, поскольку они позволяют им запускать собственный вредоносный код с привилегиями root на определенном хосте, если не принимать во внимание соображения безопасности», — отмечают исследователи. По словам исследователей, скомпрометированный контейнер извлекает различные инструменты после майнинга и бокового перемещения, в том числе сценарии выхода из контейнера, похитители учетных данных и майнеры криптовалюты.
Опираясь на предыдущую кампанию
Согласно TrendMicro, тот же злоумышленник собирал учетные данные Docker Hub во время предыдущей кампании в июле. TrendMicro понимает, что учетные записи Docker Hub, скомпрометированные в ходе предыдущей кампании, используются в текущей кампании для удаления вредоносных образов Docker. Фактически, TrendMicro сообщает, что было зафиксировано более 150.000 XNUMX выборок изображений из вредоносных учетных записей Docker Hub. Помимо установки криптомайнеров, злоумышленники ищут другие уязвимые экземпляры Docker, открытые для доступа в Интернет, и выполняют побеги с хоста-контейнера, чтобы получить доступ к основной сети, в которой размещены скомпрометированные экземпляры Docker. TrendMicro также отмечает, что при поиске других уязвимых экземпляров злоумышленники также проверяют порты, которые наблюдались в предыдущих кампаниях распределенных ботнетов типа «отказ в обслуживании» (DDoS). «Эта недавняя атака только подчеркивает растущую изощренность атак на открытые серверы, особенно со стороны способных злоумышленников, таких как TeamTNT, которые используют скомпрометированные учетные данные пользователя для реагирования на свои злонамеренные мотивы», — заключают исследователи, отмечая, что атаки уже были совершены. Docker, а учетные записи, участвовавшие в этой атаке, были удалены. Защитите свои серверы с помощью одного из этих лучших приложений и служб брандмауэра и убедитесь, что на ваших компьютерах работают эти лучшие инструменты защиты конечных точек для защиты от всех типов атак.