Ett cyberkriminellt gäng har riktat in sig på dåligt konfigurerade Docker-containrar för att bryta efter kryptovaluta.
I oktober upptäckte säkerhetsforskare på Trend Micro hackare som riktade in sig på dåligt konfigurerade servrar med exponerade Docker REST API:er genom att snurra upp behållare från bilder som exekverar skadliga skript.
Dessa manus gjorde tre saker. Först, de nedladdade eller buntade Monero cryptocurrency gruvarbetarna. För det andra utförde de flykt från behållare till värd med välkända tekniker. Slutligen genomförde de genomsökningar över hela internet efter exponerade portar från komprometterade containrar.
Kampanjens komprometterade behållare försökte också samla in information, såsom serverns operativsystem, behållarregistret för användning, serverns arkitektur, aktuell svärmdeltagandestatus och antalet CPU-kärnor.
För att få mer information om den felkonfigurerade servern, såsom drifttid och totalt tillgängligt minne, snurrar hotaktörer också upp behållare med docker-CLI genom att ställa in flaggan "--privileged" med hjälp av nätverkets namnutrymme för den underliggande värden "--net=host,” och montera de underliggande värdarnas rotfilsystem på containersökvägen “/host”.
Forskarna hittade Docker Hub-registerkonton som antingen komprometterades eller tillhör TeamTNT.
"Dessa konton användes för att vara värd för skadliga bilder och var en aktiv del av botnät och skadliga kampanjer som missbrukade Docker REST API," sa forskare. De kontaktade sedan Docker för att få kontona borttagna.
Trend Micro-forskare sa att samma hackare också använde autentiseringsstöldare som skulle samla in autentiseringsuppgifter från konfigurationsfiler redan i juli. Forskare tror att det var så TeamTNT fick informationen som användes för de utsatta webbplatserna i denna attack.
"Baserat på skripten som körs och verktygen som används för att leverera myntminerare, kommer vi fram till följande slutsatser som kopplar denna attack till TeamTNT," sa forskare. "'alpineos' (med totalt mer än 150 000 drag med alla bilder kombinerade) är ett av de primära Docker Hub-kontona som aktivt används av TeamTNT. Det finns äventyrade Docker Hub-konton som kontrolleras av TeamTNT för att sprida skadlig programvara för myntutvinning.”
Forskare sa att exponerade Docker-applikationsprogrammeringsgränssnitt (API) har blivit huvudmål för angripare. Dessa tillåter dem att exekvera sin skadliga kod med root-privilegier på en riktad värd om säkerhetsöverväganden inte beaktas.
"Denna senaste attacken belyser bara den ökande sofistikeringen som exponerade servrar riktas mot, särskilt av kapabla hotaktörer som TeamTNT som använder komprometterade användaruppgifter för att uppfylla sina skadliga motiv," tillade de.