Hacker missbrauchen schlecht gesicherte Docker-Hub-Konten, um Kryptowährung zu schürfen

Eine cyberkriminelle Bande hat es auf schlecht konfigurierte Docker-Container abgesehen, um nach Kryptowährung zu schürfen.

Im Oktober entdeckten Sicherheitsforscher von Trend Micro Hacker, die es auf schlecht konfigurierte Server mit exponierten Docker-REST-APIs abgesehen hatten, indem sie Container aus Images herstellten, die bösartige Skripts ausführen.

Diese Skripte taten drei Dinge. Erstens die heruntergeladenen oder gebündelten Monero-Kryptowährungs-Coin-Miner. Zweitens führten sie Container-to-Host-Escape mit bekannten Techniken durch. Schließlich führten sie internetweite Scans nach exponierten Ports von kompromittierten Containern durch.

Die kompromittierten Container der Kampagne versuchten auch, Informationen wie das Betriebssystem des Servers, die zur Verwendung eingestellte Containerregistrierung, die Architektur des Servers, den aktuellen Swarm-Teilnahmestatus und die Anzahl der CPU-Kerne zu sammeln.

Um weitere Details über den falsch konfigurierten Server zu erhalten, z. B. Betriebszeit und verfügbarer Gesamtspeicher, starten Bedrohungsakteure auch Container mithilfe der Docker-CLI, indem sie das Flag „--privileged“ setzen und dabei den Netzwerk-Namespace des zugrunde liegenden Hosts „--net=Host“ und Mounten des Root-Dateisystems des zugrunde liegenden Hosts im Containerpfad „/host“.

Die Forscher fanden Docker-Hub-Registrierungskonten, die entweder kompromittiert wurden oder zu TeamTNT gehören.

„Diese Konten wurden zum Hosten bösartiger Bilder verwendet und waren ein aktiver Bestandteil von Botnets und Malware-Kampagnen, die die Docker-REST-API missbrauchten“, sagten Forscher. Sie kontaktierten dann Docker, um die Konten entfernen zu lassen.

Forscher von Trend Micro sagten, dass dieselben Hacker im Juli auch Zugangsdatendiebstahler benutzten, die Zugangsdaten aus Konfigurationsdateien sammelten. Forscher glauben, dass TeamTNT auf diese Weise die Informationen erhalten hat, die es für die kompromittierten Websites bei diesem Angriff verwendet hat.

„Basierend auf den ausgeführten Skripten und den Werkzeugen, die zur Bereitstellung von Coinminern verwendet werden, kommen wir zu den folgenden Schlussfolgerungen, die diesen Angriff mit TeamTNT in Verbindung bringen“, sagten die Forscher. „‚alpineos‘ (mit insgesamt mehr als 150.000 Pulls mit allen kombinierten Bildern) ist einer der primären Docker-Hub-Accounts, der von TeamTNT aktiv genutzt wird. Es gibt kompromittierte Docker-Hub-Konten, die von TeamTNT kontrolliert werden, um Coin-Mining-Malware zu verbreiten.“

Forscher sagten, dass exponierte Docker-Anwendungsprogrammierschnittstellen (APIs) zu Hauptzielen für Angreifer geworden sind. Diese ermöglichen es ihnen, ihren bösartigen Code mit Root-Rechten auf einem Zielhost auszuführen, wenn Sicherheitsüberlegungen nicht berücksichtigt werden.

„Dieser jüngste Angriff unterstreicht nur die zunehmende Raffinesse, mit der exponierte Server angegriffen werden, insbesondere von fähigen Bedrohungsakteuren wie TeamTNT, die kompromittierte Benutzeranmeldeinformationen verwenden, um ihre böswilligen Motive zu verwirklichen“, fügten sie hinzu.