Gli attori delle minacce continuano a sfruttare istanze Docker configurate in modo errato per svolgere varie attività dannose, come l'installazione di cryptominer Monero, avvertono i ricercatori di sicurezza informatica. La campagna in corso iniziata il mese scorso è gestita dal gruppo di hacking TeamTNT ed è stata scoperta dagli esperti di sicurezza di TrendMicro. "Le API Docker esposte sono diventate obiettivi comuni per gli aggressori perché consentono loro di eseguire il proprio codice dannoso con privilegi di root su un host specifico se le considerazioni sulla sicurezza non vengono prese in considerazione", osservano i ricercatori. Secondo i ricercatori, il container compromesso recupera vari strumenti di post-mining e di movimento laterale, inclusi script di escape del container, ladri di credenziali e minatori di criptovalute.
Costruisci sulla campagna precedente
Secondo TrendMicro, lo stesso autore di minacce è stato osservato raccogliere le credenziali di Docker Hub durante una precedente campagna a luglio. TrendMicro comprende che gli account Docker Hub compromessi nella campagna precedente vengono utilizzati nella campagna attuale per rimuovere immagini Docker dannose. In effetti, TrendMicro riferisce di aver visto più di 150.000 recuperi di immagini da account Docker Hub dannosi. Oltre a installare cryptominer, gli attori malintenzionati cercano altre istanze Docker vulnerabili esposte a Internet ed eseguono fughe dall'host del contenitore per ottenere l'accesso alla rete principale che ospita le istanze Docker compromesse. TrendMicro osserva inoltre che quando cercano altre istanze vulnerabili, gli attori delle minacce controllano anche le porte che sono state osservate in precedenti campagne di botnet DDoS (Distributed Denial-of-Service). "Questo recente attacco non fa che sottolineare la crescente sofisticazione con cui vengono attaccati i server esposti, in particolare da attori di minacce capaci come TeamTNT che utilizzano le credenziali degli utenti compromessi per rispondere ai loro motivi dannosi", concludono i ricercatori, osservando che gli attacchi sono già stati effettuati. Docker e gli account coinvolti in questo attacco sono stati rimossi. Proteggi i tuoi server con l'aiuto di una di queste migliori app e servizi firewall e assicurati che i tuoi computer eseguano questi migliori strumenti di protezione degli endpoint per difendersi da tutti i tipi di attacchi.