Les pirates abusent des comptes Docker Hub mal sécurisés pour exploiter la crypto-monnaie


Un gang de cybercriminels a ciblé des conteneurs Docker mal configurés pour extraire de la crypto-monnaie.

En octobre, des chercheurs en sécurité de Trend Micro ont découvert des pirates ciblant des serveurs mal configurés avec des API Docker REST exposées en faisant tourner des conteneurs à partir d’images qui exécutent des scripts malveillants.

Ces scripts ont fait trois choses. Tout d’abord, les mineurs de pièces de monnaie Monero téléchargés ou regroupés. Deuxièmement, ils ont effectué une évasion conteneur-hôte en utilisant des techniques bien connues. Enfin, ils ont effectué des analyses à l’échelle d’Internet pour les ports exposés à partir de conteneurs compromis.

Les conteneurs compromis de la campagne ont également tenté de collecter des informations, telles que le système d’exploitation du serveur, le registre de conteneurs à utiliser, l’architecture du serveur, l’état actuel de la participation à l’essaim et le nombre de cœurs de processeur.

Pour obtenir plus de détails sur le serveur mal configuré, tels que la disponibilité et la mémoire totale disponible, les acteurs de la menace font également tourner des conteneurs à l’aide de docker-CLI en définissant l’indicateur « –privileged», en utilisant l’espace de noms réseau de l’hôte sous-jacent « -net= host », et en montant le système de fichiers racine des hôtes sous-jacents sur le chemin du conteneur « /host ».

Les chercheurs ont trouvé des comptes de registre Docker Hub qui étaient soit compromis, soit appartenaient à TeamTNT.

« Ces comptes étaient utilisés pour héberger des images malveillantes et participaient activement aux campagnes de botnets et de logiciels malveillants qui abusaient de l’API Docker REST », ont déclaré les chercheurs. Ils ont ensuite contacté Docker pour faire supprimer les comptes.

Les chercheurs de Trend Micro ont déclaré que les mêmes pirates utilisaient également des voleurs d’informations d’identification qui collecteraient les informations d’identification à partir des fichiers de configuration en juillet. Les chercheurs pensent que c’est ainsi que TeamTNT a obtenu les informations qu’il a utilisées pour les sites compromis dans cette attaque.

« Sur la base des scripts en cours d’exécution et des outils utilisés pour fournir des mineurs de monnaie, nous arrivons aux conclusions suivantes reliant cette attaque à TeamTNT », ont déclaré les chercheurs. « ‘alpineos’ (avec un total de plus de 150 000 tirages avec toutes les images combinées) est l’un des principaux comptes Docker Hub activement utilisés par TeamTNT. Il existe des comptes Docker Hub compromis qui sont contrôlés par TeamTNT pour diffuser des logiciels malveillants de minage de pièces.

Les chercheurs ont déclaré que les interfaces de programmation d’applications (API) Docker exposées sont devenues les principales cibles des attaquants. Ceux-ci leur permettent d’exécuter leur code malveillant avec des privilèges root sur un hôte ciblé si les considérations de sécurité ne sont pas prises en compte.

« Cette récente attaque ne fait que souligner la sophistication croissante avec laquelle les serveurs exposés sont ciblés, en particulier par des acteurs de la menace capables comme TeamTNT qui utilisent des informations d’identification d’utilisateur compromises pour répondre à leurs motifs malveillants », ont-ils ajouté.

Ressources en vedette

Transformer les données en valeur commerciale inégalée

Utiliser les données pour obtenir de meilleurs résultats

Téléchargement Gratuit

Sept conseils pour préparer votre retour au bureau

Comment les chefs d’entreprise peuvent maintenir les communications avec les employés

Téléchargement Gratuit

Migration vers le cloud de votre infrastructure de données

Découvrez pourquoi la voie la plus efficace est axée sur les données

Téléchargement Gratuit

Bonnes pratiques pour exécuter Microsoft SQL Server sur AWS

Optimisez les performances de votre serveur SQL

Regarde maintenant

Laisser un commentaire