Hackers misbruiken slecht beveiligde Docker Hub-accounts om cryptocurrency te minen

ETFFIN >> Persoonlijke financiën > >> cryptogeld >> Blockchain

Een cybercrimineel bende heeft zich gericht op slecht geconfigureerde Docker-containers om cryptovaluta te delven.

In oktober ontdekten beveiligingsonderzoekers van Trend Micro dat hackers zich richtten op slecht geconfigureerde servers met blootgestelde Docker REST API's door containers op te draaien van afbeeldingen die kwaadaardige scripts uitvoeren.

Deze scripts deden drie dingen. Ten eerste de gedownloade of gebundelde Monero cryptocurrency coin miners. Ten tweede voerden ze een ontsnapping van container naar host uit met behulp van bekende technieken. Ten slotte voerden ze internetbrede scans uit voor blootgestelde poorten van gecompromitteerde containers.

De gecompromitteerde containers van de campagne probeerden ook informatie te verzamelen, zoals het besturingssysteem van de server, het containerregister dat is ingesteld voor gebruik, de serverarchitectuur, de huidige deelnamestatus van de zwerm en het aantal CPU-cores.

Om meer details te krijgen over de verkeerd geconfigureerde server, zoals uptime en het totale beschikbare geheugen, starten dreigingsactoren ook containers met docker-CLI door de vlag "--privileged" in te stellen, met behulp van de netwerknaamruimte van de onderliggende host "--net=host' en het rootbestandssysteem van de onderliggende hosts aankoppelen op containerpad '/host'.

De onderzoekers vonden Docker Hub-registeraccounts die gecompromitteerd waren of die toebehoorden aan TeamTNT.

"Deze accounts werden gebruikt om kwaadaardige afbeeldingen te hosten en waren een actief onderdeel van botnets en malwarecampagnes die misbruik maakten van de Docker REST API", aldus onderzoekers. Ze namen vervolgens contact op met Docker om de accounts te laten verwijderen.

Trend Micro-onderzoekers zeiden dat dezelfde hackers in juli ook inloggegevens gebruikten om inloggegevens uit configuratiebestanden te verzamelen. Onderzoekers denken dat dit is hoe TeamTNT de informatie heeft verkregen die het heeft gebruikt voor de gecompromitteerde sites bij deze aanval.

"Op basis van de scripts die worden uitgevoerd en de tooling die wordt gebruikt om coinminers te leveren, komen we tot de volgende conclusies die deze aanval verbinden met TeamTNT", aldus onderzoekers. "'alpineos' (met in totaal meer dan 150.000 pulls met alle afbeeldingen gecombineerd) is een van de primaire Docker Hub-accounts die actief wordt gebruikt door TeamTNT. Er zijn gecompromitteerde Docker Hub-accounts die worden beheerd door TeamTNT om malware voor muntmining te verspreiden.”

Onderzoekers zeiden dat blootgestelde Docker Application Programming Interfaces (API's) het belangrijkste doelwit zijn geworden voor aanvallers. Hiermee kunnen ze hun kwaadaardige code uitvoeren met rootrechten op een gerichte host als er geen rekening wordt gehouden met beveiligingsoverwegingen.

"Deze recente aanval benadrukt alleen de toenemende verfijning waarmee blootgestelde servers het doelwit zijn, vooral door capabele bedreigingsactoren zoals TeamTNT die gecompromitteerde gebruikersreferenties gebruiken om hun kwaadaardige motieven te vervullen", voegde ze eraan toe.

FBI-hacker verkoopt Robinhood-klantgegevens op hackforum FBI waarschuwt oplichters die geldautomaten met cryptovaluta gebruiken om geld over te hevelen