TeamTNT骇客正在寻找配置不当的Docker服务器展开攻击

趋势科技于本周指出，该团队在上个月观察到TeamTNT骇客集团正针对网络上配置不当的Docker服务器展开攻击，以植入门罗币的挖矿程式或凭证窃取软件。

遭到骇客锁定的目标是在2375埠曝露Docker REST API的Docker服务器，骇客先企图利用Docker REST API建立一个容器，再自诸如Docker Hub等容器注册平台请求攻击映像档，进而下载该恶意映像档并建立一个容器，于所建立的容器中执行CronJob指令，再下载其它攻击程式或工具。之后骇客即可于Docker服务器上植入Rootkit、凭证窃取程式或挖矿程式。

图片来源_趋势科技

趋势也找到了涉及恶意行为的Docker Hub注册账号，推测它们可能是被危害，或是原本就是由TeamTNT骇客所建立，这些账号主要用来代管恶意的映像档，为此一滥用Docker REST API之恶意活动的重要组成分子，Docker已在收到趋势的通知后将它们移除。

其实另一资安业者Uptycs在今年10月就曾揭露TeamTNT的相关行为，当时Uptycs发现TeamTNT于Docker Hub上部署了恶意的容器映像档，可用来下载渗透工具以扫描受害者系统上的子网络，执行进一步的恶意行为。

当时Uptycs指出，其中一个映像档在短短的两周内便被下载5,400次，另一个位于同一储存库的映像档下载次数更突破10万次，推测该账号是专门用来开发恶意映像档。

趋势科技提醒，曝露的Docker APIs已成为骇客的热门选择，因为它们允许骇客以根权限来执行恶意程式，显示出曝露的服务器很容易成为骇客的目标，而且像是TeamTNT这类有能力的骇客，还能利用盗来的使用者凭证来实现其不良的动机。