サイバー犯罪組織は、暗号通貨をマイニングするために、構成が不十分なDockerコンテナを標的にしています。

10月、トレンドマイクロのセキュリティ研究者は、悪意のあるスクリプトを実行するイメージからコンテナを起動することにより、Docker RESTAPIが公開された不適切に構成されたサーバーを標的とするハッカーを発見しました。

これらのスクリプトは3つのことを行いました。まず、ダウンロードまたはバンドルされたMonero暗号通貨コインマイナー。次に、よく知られた手法を使用して、コンテナからホストへのエスケープを実行しました。最後に、侵害されたコンテナから公開されたポートをインターネット全体でスキャンしました。

キャンペーンの侵害されたコンテナは、サーバーのオペレーティングシステム、使用するコンテナレジストリセット、サーバーのアーキテクチャ、現在のスウォーム参加ステータス、CPUコアの数などの情報も収集しようとしました。

稼働時間や使用可能な合計メモリなど、誤って構成されたサーバーの詳細を取得するために、攻撃者は、基盤となるホスト「--net =」のネットワーク名前空間を使用して「--privileged」フラグを設定することにより、docker-CLIを使用してコンテナを起動します。ホスト」、および基盤となるホストのルートファイルシステムをコンテナパス「/ host」にマウントします。

研究者は、侵害された、またはTeamTNTに属するDockerHubレジストリアカウントを発見しました。

「これらのアカウントは悪意のある画像をホストするために使用されており、Docker RESTAPIを悪用するボットネットやマルウェアキャンペーンの積極的な一部でした」と研究者は述べています。次に、Dockerに連絡してアカウントを削除してもらいました。

トレンドマイクロの研究者は、同じハッカーが7月に構成ファイルから資格情報を収集する資格情報スティーラーも使用したと述べました。研究者は、これがTeamTNTがこの攻撃で侵害されたサイトに使用した情報を取得した方法であると信じています。

「実行中のスクリプトとコインマイナーを配信するために使用されているツールに基づいて、この攻撃をTeamTNTに結び付ける次の結論に到達しました」と研究者は述べています。 「「alpineos」（すべてのイメージを合わせて合計150,000を超えるプル）は、TeamTNTによってアクティブに使用されている主要なDockerHubアカウントの1つです。コインマイニングマルウェアを拡散するためにTeamTNTによって制御されている侵害されたDockerHubアカウントがあります。」

研究者は、公開されたDockerアプリケーションプログラミングインターフェイス（API）が攻撃者の主な標的になっていると述べました。これらにより、セキュリティ上の考慮事項が考慮されていない場合、ターゲットホスト上でroot権限で悪意のあるコードを実行できます。

「この最近の攻撃は、特に、侵害されたユーザー資格情報を使用して悪意のある動機を実行するTeamTNTのような有能な脅威アクターによって、公開されたサーバーが標的とされる高度化を浮き彫りにしているだけです」と彼らは付け加えました。