Hackers abusam de contas mal protegidas do Docker Hub para minerar criptomoedas

Uma gangue de criminosos cibernéticos tem como alvo contêineres Docker mal configurados para minerar criptomoedas.

Em outubro, pesquisadores de segurança da Trend Micro descobriram hackers visando servidores mal configurados com APIs REST expostas do Docker, criando contêineres de imagens que executam scripts maliciosos.

Esses scripts fizeram três coisas. Primeiro, os mineradores de moedas de criptomoeda Monero baixados ou agrupados. Em segundo lugar, eles realizaram a fuga de contêiner para host usando técnicas bem conhecidas. Por fim, eles realizaram varreduras em toda a Internet para portas expostas de contêineres comprometidos.

Os contêineres comprometidos da campanha também tentaram coletar informações, como o sistema operacional do servidor, o registro de contêiner definido para uso, a arquitetura do servidor, o status atual de participação do enxame e o número de núcleos de CPU.

Para obter mais detalhes sobre o servidor mal configurado, como tempo de atividade e memória total disponível, os agentes de ameaças também ativam contêineres usando o docker-CLI definindo o sinalizador "--privileged", usando o namespace de rede do host subjacente "--net=host” e montando o sistema de arquivos raiz dos hosts subjacentes no caminho do contêiner “/host”.

Os pesquisadores encontraram contas de registro do Docker Hub que foram comprometidas ou pertencem ao TeamTNT.

“Essas contas estavam sendo usadas para hospedar imagens maliciosas e eram parte ativa de botnets e campanhas de malware que abusavam da API REST do Docker”, disseram os pesquisadores. Eles então contataram o Docker para remover as contas.

Pesquisadores da Trend Micro disseram que os mesmos hackers também usaram ladrões de credenciais que coletavam credenciais de arquivos de configuração em julho. Os pesquisadores acreditam que foi assim que o TeamTNT obteve as informações que usou para os sites comprometidos neste ataque.

“Com base nos scripts sendo executados e nas ferramentas usadas para entregar os mineradores de moedas, chegamos às seguintes conclusões conectando esse ataque ao TeamTNT”, disseram os pesquisadores. “'alpineos' (com um total de mais de 150.000 pulls com todas as imagens combinadas) é uma das principais contas do Docker Hub sendo usadas ativamente pelo TeamTNT. Existem contas comprometidas do Docker Hub que estão sendo controladas pelo TeamTNT para espalhar malware de mineração de moedas.”

Os pesquisadores disseram que as interfaces de programação de aplicativos (APIs) expostas do Docker se tornaram os principais alvos dos invasores. Eles permitem que eles executem seu código malicioso com privilégios de root em um host de destino se as considerações de segurança não forem consideradas.

“Este ataque recente apenas destaca a crescente sofisticação com que os servidores expostos são direcionados, especialmente por agentes de ameaças capazes, como o TeamTNT, que usam credenciais de usuário comprometidas para cumprir seus motivos maliciosos”, acrescentaram.