Pelaku ancaman terus mengeksploitasi konfigurasi yang buruk Contoh Docker (terbuka di tab baru) untuk melakukan berbagai aktivitas jahat seperti penginstalan Monero cryptominers (terbuka di tab baru)memperingatkan keamanan cyber (terbuka di tab baru) peneliti.
Kampanye yang sedang berlangsung yang dimulai bulan lalu sedang dilakukan oleh grup peretasan TeamTNT, dan ditemukan oleh pakar keamanan di TrendMicro (terbuka di tab baru).
“API Docker yang terpapar telah menjadi target lazim bagi penyerang karena ini memungkinkan mereka untuk mengeksekusi kode jahat mereka sendiri dengan hak akses root pada host yang ditargetkan jika pertimbangan keamanan tidak diperhitungkan,” catatan (terbuka di tab baru) para peneliti.
Menurut para peneliti, kontainer yang dikompromikan mengambil berbagai alat pasca-eksploitasi dan gerakan lateral, termasuk skrip pelepas kontainer, pencuri kredensial, dan cryptocurrency (terbuka di tab baru) penambang.
Membangun dari kampanye sebelumnya
Menurut TrendMicro, aktor ancaman yang sama diamati mengumpulkan kredensial Docker Hub di a kampanye sebelumnya (terbuka di tab baru) kembali pada bulan Juli.
TrendMicro memahami bahwa akun Docker Hub yang disusupi di kampanye sebelumnya sedang digunakan dalam kampanye yang sedang berlangsung untuk menghapus gambar Docker yang berbahaya. Faktanya, TrendMicro melaporkan bahwa mereka telah melihat lebih dari 150.000 gambar dari akun Docker Hub yang berbahaya.
Selain menginstal cryptominers, pelaku ancaman memindai instance Docker rentan lainnya yang terpapar Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama yang menghosting instance Docker yang disusupi.
TrendMicro juga mencatat bahwa saat memindai contoh rentan lainnya, pelaku ancaman memeriksa port yang telah diamati di masa lalu denial-of-service (DDoS (terbuka di tab baru)) kampanye botnet juga.
“Serangan baru-baru ini hanya menyoroti peningkatan kecanggihan yang menjadi sasaran server terbuka, terutama oleh pelaku ancaman yang cakap seperti TeamTNT yang menggunakan kredensial pengguna yang disusupi untuk memenuhi motif jahat mereka,” para peneliti menyimpulkan, mencatat bahwa mereka telah menjangkau Docker, dan akun yang terlibat dalam serangan ini telah dihapus.
Lindungi server Anda menggunakan salah satunya firewall terbaik (terbuka di tab baru) aplikasi dan layanan, dan pastikan komputer Anda menjalankan ini alat perlindungan titik akhir terbaik (terbuka di tab baru) menangkal segala macam serangan.
