Hackere misbruger dårligt sikrede Docker Hub-konti til at mine kryptovaluta

ETFFIN >> Privatøkonomi > >> Kryptovaluta >> Blockchain

En cyberkriminel bande har målrettet dårligt konfigurerede Docker-containere for at mine efter kryptovaluta.

I oktober opdagede sikkerhedsforskere hos Trend Micro hackere, der målrettede mod dårligt konfigurerede servere med blotlagte Docker REST API'er ved at samle containere op fra billeder, der udfører ondsindede scripts.

Disse scripts gjorde tre ting. Først de downloadede eller bundtede Monero cryptocurrency møntminearbejdere. For det andet udførte de container-til-vært flugt ved hjælp af velkendte teknikker. Endelig udførte de internet-dækkende scanninger for udsatte porte fra kompromitterede containere.

Kampagnens kompromitterede containere forsøgte også at indsamle oplysninger, såsom serverens operativsystem, containerregistret indstillet til brug, serverens arkitektur, nuværende sværmdeltagelsesstatus og antallet af CPU-kerner.

For at få flere detaljer om den forkert konfigurerede server, såsom oppetid og samlet tilgængelig hukommelse, opretter trusselsaktører også containere ved hjælp af docker-CLI ved at indstille flaget "--privileged" ved at bruge netværksnavneområdet for den underliggende vært "--net=host," og monterer de underliggende værters rodfilsystem ved containerstien "/host".

Forskerne fandt Docker Hub-registreringskonti, der enten var kompromitteret eller tilhører TeamTNT.

"Disse konti blev brugt til at hoste ondsindede billeder og var en aktiv del af botnets og malware-kampagner, der misbrugte Docker REST API," sagde forskere. De kontaktede derefter Docker for at få konti fjernet.

Trend Micro-forskere sagde, at de samme hackere også brugte legitimations-tyvere, der ville indsamle legitimationsoplysninger fra konfigurationsfiler tilbage i juli. Forskere mener, at det er sådan, TeamTNT har fået de oplysninger, det brugte til de kompromitterede websteder i dette angreb.

"Baseret på de scripts, der udføres, og det værktøj, der bruges til at levere coinminers, når vi frem til følgende konklusioner, der forbinder dette angreb med TeamTNT," sagde forskere. "'alpineos' (med i alt mere end 150.000 pulls med alle billeder kombineret) er en af de primære Docker Hub-konti, der bruges aktivt af TeamTNT. Der er kompromitterede Docker Hub-konti, som bliver kontrolleret af TeamTNT for at sprede møntmine-malware."

Forskere sagde, at blottede Docker-applikationsprogrammeringsgrænseflader (API'er) er blevet hovedmål for angribere. Disse giver dem mulighed for at udføre deres ondsindede kode med root-privilegier på en målrettet vært, hvis der ikke tages højde for sikkerhedshensyn.

"Dette nylige angreb fremhæver kun den stigende sofistikering, som eksponerede servere er målrettet med, især af dygtige trusselsaktører som TeamTNT, der bruger kompromitterede brugerlegitimationsoplysninger til at opfylde deres ondsindede motiver," tilføjede de.

FBI-hacker sælger Robinhood-kundedata på hackingforum FBI advarer om, at svindlere bruger cryptocurrency-hæveautomater til at suge kontanter

Hvad er cryptocurrency-mining?

Bedste kryptovaluta-opsparingskonti til at udvide din portefølje, mens du hodl

En guide til kryptovaluta for begyndere

Cryptocurrency-minedrift:Hvad det er, hvordan det virker, og hvordan man miner bitcoin

Blockchain