TeamTNT hacker grubu, kötü yapılandırılmış olanlar başta olmak üzere geçen aydan bu yana Docker sunucularını hedef alan saldırılar düzenliyor.
TrendMicro’daki araştırmacılar tarafından hazırlanan bir rapora göre, aktörlerin üç farklı hedefi var: Monero kripto madencileri kurmak, internete savunmasız bir şekilde açılan Docker örneklerini taramak ve ana ağa erişmek için konteynerden hostlara geçişler sağlamak.
Saldırı iş akışında da gösterildiği gibi, saldırı, savunmasız host üzerinde açıkta kalan bir Docker REST API kullanarak bir konteyner oluşturmakla başlar.
TeamTNT daha sonra kötü amaçlı imajları barındırmak ve bunları hedeflenen bir ana bilgisayara dağıtmak için güvenliği ihlal edilmiş veya aktör tarafından kontrol edilen Docker Hub hesaplarını kullanır.
TrendMicro, bu saldırıların bir parçası olarak kötü niyetli Docker Hub hesaplarından 150.000’den fazla imaj gördü.
Savunmasız durumları tararken, tehdit aktörleri geçmiş DDoS botnet saldırılarında da gözlemlenen 2375, 2376, 2377, 4243, 4244 numaralı bağlantı noktalarını kontrol eder.
Aktörler ayrıca işletim sistemi türü, mimarisi, CPU çekirdeği sayısı, konteyner kaydı ve mevcut yığın durumu gibi sunucu bilgilerini toplamaya çalışır.
Oluşturulan konteyner imajı, AlpineOS sistemini temel alır ve temeldeki ana bilgisayarda kök düzeyindeki yetkiler ile işlemler yürütülür.
Son olarak, TeamTNT’nin mevcut altyapısı için kullanılan IP adresi (45[.]9[.]148[.]182) geçmişte de kötü amaçlı yazılımlara hizmet eden birden çok alanla ilişkilendirilmiştir.
Önceki saldırıda temel atıldı
TrendMicro, bu saldırıların kötü niyetli Docker imajlarını bırakmak için TeamTNT tarafından kontrol edilen güvenliği ihlal edilmiş Docker Hub hesaplarını da kullandığını bildirdi.
Güvenliği ihlal edilmiş Docker Hub hesaplarının kullanılması, haritalanması, raporlanması ve kaldırılması daha zor olduğundan dağıtım noktalarını aktörler için daha güvenilir hale getirmekte.
Aktörler, Temmuz ayında TrendMicro tarafından analiz edilen önceki bir saldırıda, kimlik bilgileri hırsızlarının saldırılarda konuşlandırıldığı bir önceki saldırıdaki Docker Hub kimlik bilgilerini toplarken tespit edilmişti.
TrendMicro’nun bugün yayınlanan araştırmasında, “TeamTNT ile ilgili Temmuz 2021 araştırmamız, grubun daha önce yapılandırma dosyalarından kimlik bilgilerini toplayacak kimlik bilgisi hırsızlığı yazılımları kullandığını gösterdi. TeamTNT, bu saldırıda güvenliği ihlal edilmiş siteler için kullandığı bilgileri bu şekilde elde etmiş olabilir.”
Docker sistemlerine kalıcı tehdit
TeamTNT, tekniklerini sürekli geliştiren, kısa vadeli hedefleme odağını değiştiren ancak savunmasız Docker sistemleri için sürekli bir tehdit olmaya devam eden sofistike bir aktördür.
İlk olarak Ağustos 2020’de Docker ve Kubernetes’ten toplu olarak yararlanmak için bir solucan yarattılar.
Ekim 2020’de ise, Docker örneklerini hedefleyen Monero madenciliği ve kimlik bilgisi çalma yetenekleri eklediler.
Ocak 2021’de TeamTNT, güvenliği ihlal edilmiş sunuculardan kullanıcı kimlik bilgilerini toplamaya devam ederken madencilerini gelişmiş algılama kaçırma hileleriyle donattılar.
Docker, Docker’ın REST API’sini kilitlemek ve bu tür saldırıları önlemek için kullanılabilecek bazı “zorunlu” ipuçları sağlamakta.
Docker’ın güvenlik kılavuzunda, “HTTPS ve sertifikalarla API uç noktalarının güvenliğinin sağlanması zorunludur. Ayrıca, yalnızca güvenilir bir ağdan veya VPN’den erişilebilir olduğundan emin olunması önerilir” açıklaması yapılıyor.
Kaynak: bleepingcomputer.com
Diğer haberler
Microsoft: Windows 10 2004 Destek Süresi Sona Eriyor
Microsoft: Windows 11 KB5007215 İle Bir Çok Sorun Düzeltildi
Microsoft, Exchange Server’lar Acil Güncelleme Uyarısı Yaptı
