Los piratas informáticos abusan de las cuentas de Docker Hub mal protegidas para extraer criptomonedas

Una banda de delincuentes cibernéticos se ha centrado en contenedores Docker mal configurados para minar criptomonedas.

En octubre, los investigadores de seguridad de Trend Micro descubrieron que los piratas informáticos se dirigían a servidores mal configurados con API REST de Docker expuestas mediante la activación de contenedores a partir de imágenes que ejecutan scripts maliciosos.

Estos guiones hicieron tres cosas. Primero, los mineros de monedas de criptomonedas Monero descargados o empaquetados. En segundo lugar, realizaron un escape de contenedor a host utilizando técnicas bien conocidas. Finalmente, realizaron escaneos en toda Internet en busca de puertos expuestos de contenedores comprometidos.

Los contenedores comprometidos de la campaña también intentaron recopilar información, como el sistema operativo del servidor, el conjunto de registros del contenedor para su uso, la arquitectura del servidor, el estado actual de participación del enjambre y la cantidad de núcleos de CPU.

Para obtener más detalles sobre el servidor mal configurado, como el tiempo de actividad y la memoria total disponible, los actores de amenazas también activan contenedores usando docker-CLI configurando el indicador "--privileged", usando el espacio de nombres de red del host subyacente "--net=host” y montar el sistema de archivos raíz de los hosts subyacentes en la ruta del contenedor “/host”.

Los investigadores encontraron cuentas de registro de Docker Hub que estaban comprometidas o pertenecían a TeamTNT.

“Estas cuentas se usaban para alojar imágenes maliciosas y eran parte activa de botnets y campañas de malware que abusaban de la API REST de Docker”, dijeron los investigadores. Luego se comunicaron con Docker para que eliminaran las cuentas.

Los investigadores de Trend Micro dijeron que los mismos piratas informáticos también usaron ladrones de credenciales que recopilarían credenciales de los archivos de configuración en julio. Los investigadores creen que así es como TeamTNT obtuvo la información que usó para los sitios comprometidos en este ataque.

“Según los scripts que se ejecutan y las herramientas que se utilizan para entregar los mineros, llegamos a las siguientes conclusiones que conectan este ataque con TeamTNT”, dijeron los investigadores. “'alpineos' (con un total de más de 150 000 extracciones con todas las imágenes combinadas) es una de las principales cuentas de Docker Hub que TeamTNT utiliza activamente. Hay cuentas de Docker Hub comprometidas que están siendo controladas por TeamTNT para propagar malware de minería de monedas”.

Los investigadores dijeron que las interfaces de programación de aplicaciones (API) de Docker expuestas se han convertido en los principales objetivos de los atacantes. Estos les permiten ejecutar su código malicioso con privilegios de raíz en un host objetivo si no se tienen en cuenta las consideraciones de seguridad.

“Este ataque reciente solo destaca la creciente sofisticación con la que se atacan los servidores expuestos, especialmente por parte de actores de amenazas capaces como TeamTNT que usan credenciales de usuario comprometidas para cumplir con sus motivos maliciosos”, agregaron.