Hotaktörer fortsätter att utnyttja felkonfigurerade Docker-instanser för att utföra olika skadliga aktiviteter, som att installera Monero-kryptominerare, varnar cybersäkerhetsforskare. Den pågående kampanjen som började förra månaden leds av hackergruppen TeamTNT och upptäcktes av säkerhetsexperter på TrendMicro. "Exponerade Docker API:er har blivit vanliga mål för angripare eftersom de tillåter dem att exekvera sin egen skadliga kod med root-privilegier på en specifik värd om säkerhetsöverväganden inte tas med i beräkningen", noterar forskarna. Enligt forskarna återställer den komprometterade behållaren flera verktyg efter gruvbrytning och laterala rörelser, inklusive skript för utrymning av behållare, identitetsstöldare och gruvarbetare för kryptovaluta.
Bygg på föregående kampanj
Enligt TrendMicro observerades samma hotaktör samla in Docker Hub-uppgifter under en tidigare kampanj i juli. TrendMicro förstår att Docker Hub-konton som äventyrats i den tidigare kampanjen används i den aktuella kampanjen för att ta bort skadliga Docker-bilder. Faktum är att TrendMicro rapporterar att de har sett över 150.000 XNUMX bildåterställningar från skadliga Docker Hub-konton. Förutom att installera kryptominerare söker illvilliga aktörer efter andra sårbara Docker-instanser som exponeras för Internet och utför container-host escapes för att få tillgång till kärnnätverket som är värd för de komprometterade Docker-instanserna. TrendMicro noterar också att när de söker efter andra sårbara instanser kontrollerar hotaktörer också portar som har observerats i tidigare DDoS-botnätkampanjer (distributed denial of service). "Denna senaste attacken understryker bara den ökande sofistikeringen med vilken exponerade servrar attackeras, särskilt av kapabla hotaktörer som TeamTNT som använder komprometterade användaruppgifter för att tjäna sina skadliga motiv", avslutar forskarna och noterar att det redan har kontaktats Docker, och konton inblandade i denna attack har tagits bort. Skydda dina servrar med hjälp av en av dessa bästa brandväggsappar och tjänster, och se till att dina datorer kör dessa bästa endpoint-skyddsverktyg för att försvara sig mot alla typer av attacker.