Peretas menyalahgunakan akun Docker Hub yang tidak diamankan dengan baik untuk menambang cryptocurrency

Geng penjahat dunia maya telah menargetkan kontainer Docker yang dikonfigurasi dengan buruk untuk menambang cryptocurrency.

Pada bulan Oktober, peneliti keamanan di Trend Micro menemukan peretas yang menargetkan server yang dikonfigurasi dengan buruk dengan API REST Docker yang terbuka dengan memutar wadah dari gambar yang mengeksekusi skrip berbahaya.

Script ini melakukan tiga hal. Pertama, penambang koin cryptocurrency Monero yang diunduh atau dibundel. Kedua, mereka melakukan pelarian kontainer-ke-host menggunakan teknik terkenal. Terakhir, mereka melakukan pemindaian di seluruh internet untuk port yang terbuka dari kontainer yang disusupi.

Kontainer kampanye yang disusupi juga berusaha mengumpulkan informasi, seperti sistem operasi server, kumpulan registri kontainer untuk digunakan, arsitektur server, status partisipasi swarm saat ini, dan jumlah inti CPU.

Untuk mendapatkan detail selengkapnya tentang server yang salah konfigurasi, seperti waktu aktif dan total memori yang tersedia, pelaku ancaman juga memutar container menggunakan docker-CLI dengan menyetel tanda “--privileged”, menggunakan ruang nama jaringan dari host yang mendasarinya “--net=host”, dan memasang sistem file root host yang mendasarinya di jalur container “/host”.

Para peneliti menemukan akun registri Docker Hub yang disusupi atau milik TeamTNT.

“Akun ini digunakan untuk meng-host gambar berbahaya dan merupakan bagian aktif dari botnet dan kampanye malware yang menyalahgunakan Docker REST API,” kata peneliti. Mereka kemudian menghubungi Docker untuk menghapus akun tersebut.

Peneliti Trend Micro mengatakan peretas yang sama juga menggunakan pencuri kredensial yang akan mengumpulkan kredensial dari file konfigurasi pada bulan Juli. Para peneliti percaya bahwa inilah cara TeamTNT memperoleh informasi yang digunakannya untuk situs yang disusupi dalam serangan ini.

“Berdasarkan skrip yang dieksekusi dan alat yang digunakan untuk mengirim koin, kami sampai pada kesimpulan berikut yang menghubungkan serangan ini dengan TeamTNT,” kata para peneliti. “'alpineos' (dengan total lebih dari 150.000 tarikan dengan semua gambar digabungkan) adalah salah satu akun Docker Hub utama yang digunakan secara aktif oleh TeamTNT. Ada akun Docker Hub yang disusupi dan dikendalikan oleh TeamTNT untuk menyebarkan malware penambangan koin.”

Para peneliti mengatakan bahwa antarmuka pemrograman aplikasi (API) Docker yang terbuka telah menjadi target utama bagi penyerang. Ini memungkinkan mereka untuk mengeksekusi kode berbahaya mereka dengan hak akses root pada host yang ditargetkan jika pertimbangan keamanan tidak diperhitungkan.

“Serangan baru-baru ini hanya menyoroti peningkatan kecanggihan yang menjadi target server yang terpapar, terutama oleh aktor ancaman yang cakap seperti TeamTNT yang menggunakan kredensial pengguna yang disusupi untuk memenuhi motif jahat mereka,” tambah mereka.