사이버 범죄 조직이 암호화폐 채굴을 위해 잘못 구성된 Docker 컨테이너를 표적으로 삼았습니다.
10월에 Trend Micro의 보안 연구원은 악성 스크립트를 실행하는 이미지에서 컨테이너를 회전시켜 노출된 Docker REST API로 잘못 구성된 서버를 노리는 해커를 발견했습니다.
이 스크립트는 세 가지 작업을 수행했습니다. 먼저 Monero 암호화폐 코인 채굴기를 다운로드하거나 번들로 제공합니다. 둘째, 그들은 잘 알려진 기술을 사용하여 컨테이너에서 호스트로 탈출을 수행했습니다. 마지막으로 감염된 컨테이너에서 노출된 포트에 대해 인터넷 전체에서 스캔을 수행했습니다.
캠페인의 손상된 컨테이너는 또한 서버의 운영 체제, 사용할 컨테이너 레지스트리, 서버의 아키텍처, 현재 스웜 참여 상태, CPU 코어 수와 같은 정보 수집을 시도했습니다.
가동 시간 및 사용 가능한 총 메모리와 같이 잘못 구성된 서버에 대한 자세한 정보를 얻기 위해 공격자는 기본 호스트 "--net="의 네트워크 네임스페이스를 사용하여 "--privileged" 플래그를 설정하여 docker-CLI를 사용하여 컨테이너를 가동합니다. host'로 설정하고 컨테이너 경로 "/host"에 기본 호스트의 루트 파일 시스템을 마운트합니다.
연구원들은 손상되었거나 TeamTNT에 속한 Docker Hub 레지스트리 계정을 발견했습니다.
연구원들은 "이 계정은 악성 이미지를 호스팅하는 데 사용되었으며 Docker REST API를 남용하는 봇넷 및 멀웨어 캠페인의 적극적인 일부였습니다."라고 말했습니다. 그런 다음 Docker에 연락하여 계정을 제거했습니다.
트렌드마이크로 연구원들은 동일한 해커가 7월에 구성 파일에서 자격 증명을 수집하는 자격 증명 스틸러도 사용했다고 말했습니다. 연구원들은 이것이 TeamTNT가 이번 공격에서 손상된 사이트에 사용된 정보를 얻은 방법이라고 생각합니다.
연구원들은 "실행 중인 스크립트와 코인마이너를 전달하는 데 사용되는 도구를 기반으로 우리는 이 공격을 TeamTNT에 연결하는 다음과 같은 결론에 도달했습니다."라고 말했습니다. "'alpineos'(모든 이미지가 결합된 총 150,000개 이상의 풀)는 TeamTNT에서 활발히 사용하는 기본 Docker Hub 계정 중 하나입니다. 코인 채굴 멀웨어를 퍼뜨리기 위해 TeamTNT가 제어하는 손상된 Docker Hub 계정이 있습니다.”
연구원들은 노출된 Docker API(응용 프로그래밍 인터페이스)가 공격자의 주요 표적이 되었다고 말했습니다. 이를 통해 보안 고려 사항이 고려되지 않은 경우 대상 호스트에서 루트 권한으로 악성 코드를 실행할 수 있습니다.
"이 최근 공격은 노출된 서버, 특히 손상된 사용자 자격 증명을 사용하여 악의적인 동기를 수행하는 TeamTNT와 같은 유능한 위협 행위자의 표적이 되는 정교함을 강조합니다."라고 덧붙였습니다.