Группировка TeamTNT устанавливает майнеры Monero на уязвимых серверах Docker

Специалисты из компании TrendMicro рассказали о новой вредоносной кампании, в ходе которой киберпреступная группировка TeamTNT атакует некорректно настроенные серверы Docker.

Преступники преследуют три разные цели — установить майнеры криптовалюты Monero, сканировать Сеть на предмет других доступных уязвимых установок Docker и выполнить побег из контейнера для доступа к основной сети.

Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Затем TeamTNT использует скомпрометированные учетные записи Docker Hub для размещения вредоносных образов и развертывания их на целевом хосте. В ходе анализа данной кампании эксперты TrendMicro зафиксировали более 150 тыс. загрузок вредоносных образов из учетных записей Docker Hub преступников.

Затем контейнер выполняет задание cronjobs и извлекает различные инструменты постэксплуатации и перемещения по сети, включая скрипты экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты.

При сканировании уязвимых экземпляров злоумышленники проверяют порты 2375, 2376, 2377, 4243, 4244, что наблюдалось в прошлых кампаниях группировки с использованием DDoS-ботнетов. Злоумышленники также пытаются собрать информацию о сервере, включая тип ОС, архитектуру, количество ядер ЦП, реестр контейнеров и пр.

По словам экспертов, в данной кампании также используются взломанные учетные записи Docker Hub, контролируемые TeamTNT, для удаления вредоносных образов Docker. Использование скомпрометированных учетных записей Docker Hub обеспечивает хакерам безопасность, поскольку их сложнее сопоставить, сообщить и удалить.

«Наше исследование TeamTNT в июле 2021 года показало, что группа ранее использовала средства для кражи учетных данных из файлов конфигурации. Возможно, именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке», — пояснили ИБ-эксперты.