Tin tặc lạm dụng tài khoản Docker Hub bảo mật kém để khai thác tiền điện tử

ETFFIN >> Tài chính cá nhân > >> Tiền điện tử >> Chuỗi khối

Một băng nhóm tội phạm mạng đã nhắm mục tiêu các vùng chứa Docker được cấu hình kém để khai thác tiền điện tử.

Vào tháng 10, các nhà nghiên cứu bảo mật tại Trend Micro đã phát hiện ra tin tặc nhắm mục tiêu vào các máy chủ có cấu hình kém với các API Docker REST bị lộ bằng cách xoay các vùng chứa từ các hình ảnh thực thi các tập lệnh độc hại.

Những tập lệnh này đã làm được ba điều. Đầu tiên, các công cụ khai thác tiền điện tử Monero được tải xuống hoặc gói lại. Thứ hai, họ thực hiện thoát từ container sang máy chủ bằng cách sử dụng các kỹ thuật nổi tiếng. Cuối cùng, họ thực hiện quét trên toàn internet để tìm các cổng bị lộ từ các container bị xâm phạm.

Các vùng chứa bị xâm phạm của chiến dịch cũng cố gắng thu thập thông tin, chẳng hạn như hệ điều hành của máy chủ, bộ đăng ký vùng chứa để sử dụng, kiến trúc của máy chủ, trạng thái tham gia bầy đàn hiện tại và số lượng lõi CPU.

Để biết thêm thông tin chi tiết về máy chủ bị định cấu hình sai, chẳng hạn như thời gian hoạt động và tổng bộ nhớ có sẵn, các tác nhân đe dọa cũng tạo ra các vùng chứa bằng docker-CLI bằng cách đặt cờ “--privileged”, sử dụng không gian tên mạng của máy chủ cơ bản “--net =máy chủ lưu trữ ”và gắn hệ thống tệp gốc của máy chủ lưu trữ cơ bản tại đường dẫn vùng chứa“ / host ”.

Các nhà nghiên cứu đã tìm thấy các tài khoản đăng ký Docker Hub đã bị xâm phạm hoặc thuộc về TeamTNT.

Các nhà nghiên cứu cho biết:“Những tài khoản này đang được sử dụng để lưu trữ hình ảnh độc hại và là một phần hoạt động của mạng botnet và chiến dịch phần mềm độc hại đã lạm dụng API REST của Docker. Sau đó, họ liên hệ với Docker để yêu cầu xóa tài khoản.

Các nhà nghiên cứu của Trend Micro cho biết chính những hacker này cũng đã sử dụng những kẻ đánh cắp thông tin xác thực để thu thập thông tin xác thực từ các tệp cấu hình hồi tháng Bảy. Các nhà nghiên cứu tin rằng đây là cách TeamTNT lấy được thông tin được sử dụng cho các trang web bị xâm nhập trong cuộc tấn công này.

Các nhà nghiên cứu cho biết:“Dựa trên các tập lệnh đang được thực thi và công cụ đang được sử dụng để cung cấp các máy đào coin, chúng tôi đưa ra kết luận kết nối cuộc tấn công này với TeamTNT. “’ Alpineos ’(với tổng số hơn 150.000 lượt kéo với tất cả các hình ảnh được kết hợp) là một trong những tài khoản Docker Hub chính đang được TeamTNT tích cực sử dụng. Có những tài khoản Docker Hub bị xâm nhập đang được TeamTNT kiểm soát để phát tán phần mềm độc hại khai thác tiền xu. ”

Các nhà nghiên cứu cho biết, các giao diện lập trình ứng dụng Docker (API) bị lộ đã trở thành mục tiêu chính của những kẻ tấn công. Những điều này cho phép chúng thực thi mã độc hại của chúng với đặc quyền root trên một máy chủ được nhắm mục tiêu nếu không tính đến các cân nhắc về bảo mật.

“Cuộc tấn công gần đây này chỉ làm nổi bật sự phức tạp ngày càng tăng mà các máy chủ bị lộ là mục tiêu nhắm mục tiêu, đặc biệt là bởi các tác nhân đe dọa có khả năng như TeamTNT sử dụng thông tin đăng nhập của người dùng bị xâm phạm để thực hiện động cơ xấu của họ,” họ nói thêm.

Tin tặc FBI đang bán dữ liệu khách hàng của Robinhood trên diễn đàn hack FBI cảnh báo những kẻ lừa đảo đang sử dụng máy ATM tiền điện tử để bòn rút tiền mặt

Khai thác tiền điện tử là gì?

Tài khoản tiết kiệm tiền điện tử tốt nhất để phát triển danh mục đầu tư của bạn trong khi bạn cần

Hướng dẫn về tiền điện tử cho người mới bắt đầu

Khai thác tiền điện tử:Nó là gì, nó hoạt động như thế nào và cách khai thác bitcoin

Chuỗi khối