Cybersicherheitsforscher warnen, dass Bedrohungsakteure weiterhin falsch konfigurierte Docker-Instanzen ausnutzen, um verschiedene böswillige Aktivitäten auszuführen, beispielsweise die Installation von Monero-Kryptominern.
Die laufende Kampagne, die letzten Monat begann, wird von der Hackergruppe TeamTNT geleitet und von Sicherheitsexperten bei TrendMicro entdeckt.
„Offengelegte Docker-APIs sind zu häufigen Zielen für Angreifer geworden, weil sie es ihnen ermöglichen, ihren eigenen Schadcode mit Root-Rechten auf einem bestimmten Host auszuführen, wenn Sicherheitsaspekte nicht berücksichtigt werden“, stellen die Forscher fest.
Den Forschern zufolge stellt der kompromittierte Container mehrere Post-Mining- und Lateral-Movement-Tools wieder her, darunter Container-Escape-Skripte, Credential-Stealer und Kryptowährungs-Miner.
Bauen Sie auf der vorherigen Kampagne auf
Laut TrendMicro wurde derselbe Bedrohungsakteur bei einer früheren Kampagne im Juli beim Sammeln von Docker-Hub-Anmeldeinformationen beobachtet.
TrendMicro geht davon aus, dass in der vorherigen Kampagne kompromittierte Docker Hub-Konten in der aktuellen Kampagne verwendet werden, um bösartige Docker-Images zu entfernen. Tatsächlich berichtet TrendMicro, dass es über 150.000 Image-Wiederherstellungen von böswilligen Docker Hub-Konten gesehen hat.
Zusätzlich zur Installation von Kryptominern suchen böswillige Akteure nach anderen anfälligen Docker-Instanzen, die im Internet verfügbar sind, und führen Container-Host-Escapes durch, um Zugriff auf das Kernnetzwerk zu erhalten, in dem sich die kompromittierten Docker-Instanzen befinden.
TrendMicro weist außerdem darauf hin, dass Bedrohungsakteure bei der Suche nach anderen anfälligen Instanzen auch Ports überprüfen, die in früheren DDoS-Botnet-Kampagnen (Distributed Denial of Service) beobachtet wurden.
„Dieser jüngste Angriff unterstreicht nur die zunehmende Raffinesse, mit der exponierte Server angegriffen werden, insbesondere durch fähige Bedrohungsakteure wie TeamTNT, die kompromittierte Benutzeranmeldeinformationen nutzen, um ihre böswilligen Motive zu verfolgen“, schlussfolgern die Forscher und weisen darauf hin, dass bereits Kontakt zu Docker und anderen Unternehmen aufgenommen wurde Die an diesem Angriff beteiligten Konten wurden entfernt.
Schützen Sie Ihre Server mit Hilfe einer dieser besten Firewall-Apps und -Dienste und stellen Sie sicher, dass auf Ihren Computern diese besten Endpoint-Schutz-Tools ausgeführt werden, um sich vor allen Arten von Angriffen zu schützen.