Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Группировка TeamTNT устанавливает майнеры Monero на уязвимых серверах Docker (http://txgate.io:443/showthread.php?t=13602)

Artifact 03-24-2025 09:55 PM

Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API.
https://www.securitylab.ru/upload/ib...ad9ef03db4.png
Специалисты из компании TrendMicro рассказали о новой вредоносной кампании, в ходе которой киберпреступная группировка TeamTNT атакует некорректно настроенные серверы Docker.
Преступники преследуют три разные цели — установить майнеры криптовалюты Monero, сканировать Сеть на предмет других доступных уязвимых установок Docker и выполнить побег из контейнера для доступа к основной сети.
Атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Затем TeamTNT использует скомпрометированные учетные записи Docker Hub для размещения вредоносных образов и развертывания их на целевом хосте. В ходе анализа данной кампании эксперты TrendMicro зафиксировали более 150 тыс. загрузок вредоносных образов из учетных записей Docker Hub преступников.
Затем контейнер выполняет задание cronjobs и извлекает различные инструменты постэксплуатации и перемещения по сети, включая скрипты экранирования контейнера, средства для кражи учетных данных и майнеры криптовалюты.
При сканировании уязвимых экземпляров злоумышленники проверяют порты 2375, 2376, 2377, 4243, 4244, что наблюдалось в прошлых кампаниях группировки с использованием DDoS-ботнетов. Злоумышленники также пытаются собрать информацию о сервере, включая тип ОС, архитектуру, количество ядер ЦП, реестр контейнеров и пр.
По словам экспертов, в данной кампании также используются взломанные учетные записи Docker Hub, контролируемые TeamTNT, для удаления вредоносных образов Docker. Использование скомпрометированных учетных записей Docker Hub обеспечивает хакерам безопасность, поскольку их сложнее сопоставить, сообщить и удалить.
«Наше исследование TeamTNT в июле 2021 года показало, что группа ранее использовала средства для кражи учетных данных из файлов конфигурации. Возможно, именно так TeamTNT получила информацию, которую она использовала для взломанных сайтов в этой атаке», — пояснили ИБ-эксперты.


All times are GMT. The time now is 12:05 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.