APP下载

TeamTNT骇客正在寻找配置不当的Docker服务器展开攻击

消息来源:baojiabao.com 作者: 发布时间:2024-11-24

报价宝综合消息TeamTNT骇客正在寻找配置不当的Docker服务器展开攻击

趋势科技于本周指出,该团队在上个月观察到TeamTNT骇客集团正针对网络上配置不当的Docker服务器展开攻击,以植入门罗币的挖矿程式或凭证窃取软件。

遭到骇客锁定的目标是在2375埠曝露Docker REST API的Docker服务器,骇客先企图利用Docker REST API建立一个容器,再自诸如Docker Hub等容器注册平台请求攻击映像档,进而下载该恶意映像档并建立一个容器,于所建立的容器中执行CronJob指令,再下载其它攻击程式或工具。之后骇客即可于Docker服务器上植入Rootkit、凭证窃取程式或挖矿程式。

图片来源_趋势科技

趋势也找到了涉及恶意行为的Docker Hub注册账号,推测它们可能是被危害,或是原本就是由TeamTNT骇客所建立,这些账号主要用来代管恶意的映像档,为此一滥用Docker REST API之恶意活动的重要组成分子,Docker已在收到趋势的通知后将它们移除。

其实另一资安业者Uptycs在今年10月就曾揭露TeamTNT的相关行为,当时Uptycs发现TeamTNT于Docker Hub上部署了恶意的容器映像档,可用来下载渗透工具以扫描受害者系统上的子网络,执行进一步的恶意行为。

当时Uptycs指出,其中一个映像档在短短的两周内便被下载5,400次,另一个位于同一储存库的映像档下载次数更突破10万次,推测该账号是专门用来开发恶意映像档。

趋势科技提醒,曝露的Docker APIs已成为骇客的热门选择,因为它们允许骇客以根权限来执行恶意程式,显示出曝露的服务器很容易成为骇客的目标,而且像是TeamTNT这类有能力的骇客,还能利用盗来的使用者凭证来实现其不良的动机。

2021-11-10 18:47:00

相关文章