TeamTNT utiliza nuevas técnicas sofisticadas contra los sistemas Docker

Un informe reciente indica que los ciberdelincuentes se dirigen cada vez más a los sistemas Docker configurados débilmente expuestos en Internet. Los investigadores detectaron una campaña en curso de TeamTNT abusa de las API REST de Docker. La campaña comenzó en octubre y los investigadores de TrendMicro identificaron varios factores que indican una conexión de […]

Un informe reciente indica que los ciberdelincuentes se dirigen cada vez más a los sistemas Docker configurados débilmente expuestos en Internet. Los investigadores detectaron una campaña en curso de TeamTNT abusa de las API REST de Docker.

La campaña comenzó en octubre y los investigadores de TrendMicro identificaron varios factores que indican una conexión de esta campaña con el grupo TeamTNT.

Se les descubrió usando cuentas de Docker Hub comprometidas, como alpineos, con un total de más de 150,000 extracciones con todas las imágenes combinadas o cuentas de Docker Hub controladas por actores para alojar imágenes maliciosas, las cuales se utilizan para activar contenedores que ejecutan scripts maliciosos.

Acciones de secuencia de comandos maliciosas

Cuando se ejecutan, los scripts realizan varias actividades:

”Descarga e instala los mineros criptográficos y los ladrones de credenciales de Monero y obtenga varias herramientas de movimiento lateral y posteriores a la explotación”.

Los scripts escanean en busca de instancias de Docker vulnerables expuestas a Internet mediante la verificación de los puertos 2375, 2376, 2377, 4243 y 4244, que se observaron en campañas de botnet DDoS anteriores.

Además, estos scripts realizan escapes de contenedor a host. Los actores intentan recopilar información del servidor, como el OSType, el registro del contenedor, la arquitectura, el estado actual de participación del enjambre y la cantidad de núcleos de CPU.

Conexión con campañas anteriores

El uso de cuentas de Docker Hub comprometidas controladas por TeamTNT apunta a una campaña anterior analizada por TrendMicro en julio.
En esa campaña, TeamTNT había desplegado ladrones de credenciales para obtener las credenciales de Docker Hub.

Posiblemente haya utilizado estas cuentas de Docker Hub comprometidas para eliminar imágenes de Docker maliciosas en la campaña actual.
En las campañas anteriores, TeamTNT se había dirigido a múltiples aplicaciones nativas de la nube y clústeres de Kubernetes.