Les acteurs de la menace continuent d'exploiter les instances Docker mal configurées pour mener diverses activités malveillantes, telles que l'installation de cryptomineurs Monero, préviennent les chercheurs en cybersécurité. La campagne en cours qui a débuté le mois dernier est menée par le groupe de piratage TeamTNT et a été découverte par des experts en sécurité de TrendMicro. « Les API Docker exposées sont devenues des cibles courantes pour les attaquants car elles leur permettent d'exécuter leur propre code malveillant avec les privilèges root sur un hôte spécifique si les considérations de sécurité ne sont pas prises en compte », notent les chercheurs. Selon les chercheurs, le conteneur compromis récupère plusieurs outils post-minage et de mouvement latéral, notamment des scripts d'échappement de conteneur, des voleurs d'informations d'identification et des mineurs de crypto-monnaie.
S'appuyer sur la campagne précédente
Selon TrendMicro, le même acteur malveillant a été observé en train de collecter les informations d'identification du Docker Hub lors d'une précédente campagne en juillet. TrendMicro comprend que les comptes Docker Hub compromis lors de la campagne précédente sont utilisés dans la campagne actuelle pour supprimer les images Docker malveillantes. En fait, TrendMicro rapporte avoir constaté plus de 150.000 XNUMX récupérations d’images à partir de comptes Docker Hub malveillants. En plus d'installer des cryptomineurs, les acteurs malveillants recherchent d'autres instances Docker vulnérables exposées à Internet et effectuent des fuites d'hôte de conteneur pour accéder au réseau central hébergeant les instances Docker compromises. TrendMicro note également que lors de la recherche d'autres instances vulnérables, les acteurs malveillants vérifient également les ports qui ont été observés lors de précédentes campagnes de botnets par déni de service distribué (DDoS). "Cette attaque récente ne fait que souligner la sophistication croissante avec laquelle les serveurs exposés sont attaqués, en particulier par des acteurs de menace compétents comme TeamTNT qui utilisent des informations d'identification d'utilisateur compromises pour servir leurs motivations malveillantes", concluent les chercheurs, notant que Docker et le les comptes impliqués dans cette attaque ont été supprimés. Protégez vos serveurs à l'aide de l'un de ces meilleurs services et applications de pare-feu, et assurez-vous que vos ordinateurs exécutent ces meilleurs outils de protection des points de terminaison pour vous défendre contre tous les types d'attaques.