Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Группировка TeamTNT устанавливает майнеры Monero на уязвимых серверах Docker

11/11/21

dockerСпециалисты из компании TrendMicro рассказали о новой вредоносной кампании, в ходе которой киберпреступная группировка TeamTNT атакует некорректно настроенные серверы Docker.

Преступники преследуют три разные цели — установить майнеры криптовалюты Monero, сканировать Сеть на предмет других доступных уязвимых установок Docker и выполнить побег из контейнера для доступа к основной сети.

Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Затем TeamTNT использует скомпрометированные учетные записи Docker Hub для размещения вредоносных образов и развертывания их на целевом хосте. В ходе анализа данной кампании эксперты TrendMicro зафиксировали более 150 тыс. загрузок вредоносных образов из учетных записей Docker Hub преступников.

Затем контейнер выполняет задание cronjobs и извлекает различные инструменты постэксплуатации и перемещения по сети, включая скрипты экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты.

При сканировании уязвимых экземпляров злоумышленники проверяют порты 2375, 2376, 2377, 4243, 4244, что наблюдалось в прошлых кампаниях группировки с использованием DDoS-ботнетов. Злоумышленники также пытаются собрать информацию о сервере, включая тип ОС, архитектуру, количество ядер ЦП, реестр контейнеров и пр.

По словам экспертов, в данной кампании также используются взломанные учетные записи Docker Hub, контролируемые TeamTNT, для удаления вредоносных образов Docker. Использование скомпрометированных учетных записей Docker Hub обеспечивает хакерам безопасность, поскольку их сложнее сопоставить, сообщить и удалить.

«Наше исследование TeamTNT в июле 2021 года показало, что группа ранее использовала средства для кражи учетных данных из файлов конфигурации. Возможно, именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке», — пояснили ИБ-эксперты.

Темы:майнингУгрозыTrend MicroDockerMonero
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...