Kötü yapılandırılmış Docker sunucuları ve devam eden bir kampanyada teamtnt hack grubu tarafından aktif olarak hedefleniyor Geçen ay başladı.
Trendmicro'daki araştırmacıların bir raporuna göre, aktörler üç farklı hedefe sahiptir: Monero Cryptominer'ı kurmak için, diğer savunmasız internete maruz kalan docker örneklerini tarayın ve ana ağa erişmek için konteyner-to-hocts gerçekleştirin.
Bir saldırı iş akışında gösterildiği gibi, saldırı, maruz kalan bir Docker Rest API kullanarak savunmasız konakta bir kap oluşturarak başlar.
TeamTNT daha sonra, kötü amaçlı görüntüleri barındırmak ve hedeflenen bir ana bilgisayarda dağıtmak için tehlikeli veya aktör kontrollü Docker Hub hesaplarını kullanır.
TrendMicro, bu kampanyanın bir parçası olarak Kötü Amaçlı Docker Hub Hesaplarından 150.000'den fazla görüntü çekimi gördü.
Daha sonra, düştü konteyner Cronjobs yürütür ve konteyner kaçan komut dosyaları, kimlik bilgisi istirdeleyicileri ve Cryptocururency madencileri de dahil olmak üzere, çeşitli post-sömürü ve yanal hareket araçlarını alır.
Diğer savunmasız durumları tararken, tehdit aktörleri, geçmiş DDOS Botnet kampanyalarında gözlenen 2375, 2376, 2377, 4243, 4244 numaralı bağlantı noktalarını kontrol eder.
Aktörler ayrıca işletim sistemi tipi, mimarisi, CPU çekirdeği sayısı, konteyner kayıt defteri ve geçerli sürü katılım durumu gibi sunucu bilgilerini toplamaya çalışır.
Oluşturulan konteyner görüntüsü, Alpineos sistemine dayanır ve altta yatan ana bilgisayardaki kök düzeyinde izinlere izin veren bayraklarla yürütülür.
Son olarak, teamtnt'in mevcut altyapısı için kullanılan IP adresi (45 [.] 148 [.] 182) Geçmişte kötü amaçlı yazılım sergileyen birden fazla etki alanı ile ilişkilendirilmiştir.
TrendMicro, bu kampanyanın, kötü amaçlı locker görüntülerini bırakması için teamtnt tarafından kontrol edilen uzgılanmış Docker Hub hesaplarını kullandığını bildirdi.
Uzgılanmış Docker Hub Hesapları Kullanımı, Dağıtım noktalarının, aktörler için daha güvenilir hale getirir, çünkü eşlemek, rapor etmek ve takmak için zorlardır.
Aktifler, TrendMicro tarafından TrendMicro tarafından analiz edilen önceki bir kampanyada TrendMicro tarafından analiz edilen bir kampanyada TrendMicro tarafından analiz edilen bir kampanyada aktörler toplantılar.
"Teamtnt'teki Temmuz 2021 araştırmamız, Grup'un daha önce yapılandırma dosyalarından kimlik bilgileriyle uğraşacak kimlik bilgisi istekli kullandığını gösterdi.
Bu nedenle, TeamTNT, yüksek düzeyde operasyonel planlama, hedeflerinde organize edilmiş ve amaçlı olduğunu gösterir.
Teamtnt, tekniklerini sürekli geliştiren, kısa vadeli hedefleme odağını değiştiren karmaşık bir aktördür, ancak savunmasız docker sistemleri için sürekli bir tehdit olmaya devam ediyor.
Öncelikle, 2020 Ağustos'ta Master Docker ve Kubernet'leri sömürmek için bir solucan yarattı.
2020 Ekim ayında, oyuncular Monero Madencilik ve Kimlik Bilgileri Çalışma Yeteneklerini, Docker'ın örneklerini hedef alıyor.
2021 Ocak'ta, Teamtnt madencileri, bu da tehlikeye giren sunuculardan kullanıcı kimlik bilgilerini toplarken, sofistike algılama kaçakçılığı hileleri ile yükseltti.
Docker, Docker'ın dinlenme API'sini Kilitle Kullanılabilecek bazı "zorunlu" ipuçlarını sağlar ve bu tür saldırıları önler.
"Bu nedenle, API bitiş noktalarını HTTPS ve sertifikalarla sabitlemek zorunludur. Ayrıca, DICKER'in güvenlik kılavuzunu açıklar" dedi.
Popüler NPM kütüphanesi şifre-çalar, madenciler kurmak için kaçırıldı
Mykings botnet hala aktif ve büyük miktarda para kazanıyor
Huawei Bulutu Güncelleştirilmiş Cryptomining Malware tarafından Hedeflenen
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandılar.
Kaynak: Bleeping Computer