Ciberdelincuentes están atacando servidores Docker mal configurados

Servidores Docker mal configurados están siendo atacados activamente por el grupo de hacking TeamTNT en una campaña en curso que comenzó el mes pasado.

Según un informe de investigadores de TrendMicro, los actores tienen tres objetivos distintos. El primer objetivo es instalar criptomineros de Monero, el segundo es escanear en busca de otras instancias de Docker vulnerables expuestas a Internet. Y, finalmente, realizar escapes de contenedor a host para acceder a la red principal.

Como se ilustra en un flujo de trabajo de ataque, el ataque comienza con la creación de un contenedor en el host vulnerable utilizando una API REST de Docker expuesta.

Ataque

TeamTNT luego usa cuentas de Docker Hub comprometidas o controladas por actores para alojar imágenes maliciosas e implementarlas en un host de destino.

TrendMicro ha visto más de 150,000 pulls de imágenes de las cuentas maliciosas de Docker Hub como parte de esta campaña.

A continuación, el contenedor afectado ejecuta cronjobs y recupera varias herramientas de movimiento lateral y posteriores a la explotación, incluidos scripts de escape de contenedores, ladrones de credenciales y mineros de criptomonedas.

Al buscar otras instancias vulnerables, los actores de amenazas verifican los puertos 2375, 2376, 2377, 4243, 4244, lo que se ha observado en campañas de botnet DDoS anteriores.

Los actores también intentan recopilar información del servidor. Por ejemplo, el tipo de sistema operativo, la arquitectura, la cantidad de núcleos de CPU, el registro de contenedores y el estado actual de participación en la red.

La imagen del contenedor que se crea se basa en el sistema AlpineOS. Esta se ejecuta con indicadores que permiten permisos de nivel root en el host subyacente.

Por último, la dirección IP que se utiliza para la infraestructura actual de TeamTNT (45[.]9[.]148[.]182) se ha asociado con varios dominios que enviaban malware en el pasado.

Las campañas anteriores sentaron las bases

TrendMicro informa que esta campaña también utiliza cuentas de Docker Hub comprometidas controladas por TeamTNT para instalar imágenes de Docker maliciosas.

El uso de cuentas de Docker Hub comprometidas hace que los puntos de distribución sean más confiables para los actores. Esto porque son más difíciles de mapear, informar y eliminar.

Los actores fueron vistos recolectando credenciales de Docker Hub en una campaña anterior analizada por TrendMicro en julio. En aquel momento, la compañía observó a los ladrones de credenciales desplegando ataques.

“Nuestra   investigación de julio de 2021 sobre TeamTNT mostró que el grupo usó previamente ladrones de credenciales que obtendrían credenciales de archivos de configuración. Esta podría ser la forma en que TeamTNT obtuvo la información que usó para los sitios comprometidos en este ataque”.

Afirmaciones en la investigación de TrendMicro publicada hoy.

Como tal, TeamTNT demuestra un alto nivel de planificación operativa, siendo organizado y decidido en sus objetivos.

Amenaza permanente para los sistemas Docker

TeamTNT es un actor sofisticado que evoluciona constantemente sus técnicas y cambia el enfoque de sus objetivos a corto plazo. Sin embargo, sigue siendo una amenaza constante para los sistemas Docker vulnerables.

Primero crearon un gusano para explotar Docker y Kubernetes de manera masiva en agosto de 2020.

En octubre de 2020, los actores agregaron capacidades de minería y robo de credenciales de Monero, dirigidas a las instancias de Docker.

En enero de 2021, TeamTNT actualizó sus mineros con sofisticadas técnicas de evasión de detección mientras seguía recolectando credenciales de usuario de los servidores comprometidos.

Docker proporciona algunos consejos “obligatorios” que se pueden utilizar para bloquear la API REST de Docker y prevenir este tipo de ataques.

“Por lo tanto, es obligatorio proteger los puntos finales de la API con HTTPS y certificados. También es recomendable asegurarse de que solo se pueda acceder a ellos desde una red confiable o VPN.”  

Extracto de la guía de seguridad de Docker.