นักคุกคามยังคงใช้ประโยชน์จากอินสแตนซ์ของ Docker ที่กำหนดค่าผิดพลาดเพื่อดำเนินกิจกรรมที่เป็นอันตรายต่างๆ เช่น การติดตั้ง Monero cryptominers นักวิจัยด้านความปลอดภัยในโลกไซเบอร์เตือน แคมเปญต่อเนื่องที่เริ่มต้นเมื่อเดือนที่แล้วดำเนินการโดยกลุ่มแฮ็ค TeamTNT และค้นพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก TrendMicro “Exposed Docker APIs ได้กลายเป็นเป้าหมายทั่วไปสำหรับผู้โจมตี เนื่องจากพวกเขาอนุญาตให้เรียกใช้รหัสที่เป็นอันตรายของตนเองด้วยสิทธิ์รูทบนโฮสต์เฉพาะ หากไม่คำนึงถึงความปลอดภัย” นักวิจัยตั้งข้อสังเกต จากข้อมูลของนักวิจัย คอนเทนเนอร์ที่ถูกบุกรุกจะดึงเครื่องมือหลังการขุดและการเคลื่อนไหวด้านข้างต่างๆ รวมถึงสคริปต์ Escape ของคอนเทนเนอร์ ผู้ขโมยข้อมูลประจำตัว และเครื่องมือขุดคริปโตเคอเรนซี
สร้างจากแคมเปญก่อนหน้า
จากข้อมูลของ TrendMicro ผู้คุกคามคนเดียวกันถูกสังเกตว่าเก็บรวบรวมข้อมูลประจำตัวของ Docker Hub ระหว่างแคมเปญก่อนหน้าในเดือนกรกฎาคม TrendMicro เข้าใจว่าบัญชี Docker Hub ที่ถูกบุกรุกในแคมเปญก่อนหน้ากำลังถูกใช้ในแคมเปญปัจจุบันเพื่อลบอิมเมจ Docker ที่เป็นอันตราย ในความเป็นจริง TrendMicro รายงานว่าพบการดึงภาพมากกว่า 150.000 ภาพจากบัญชี Docker Hub ที่เป็นอันตราย นอกเหนือจากการติดตั้ง cryptominers แล้ว ผู้ประสงค์ร้ายยังค้นหาอินสแตนซ์ Docker อื่น ๆ ที่มีช่องโหว่ที่เปิดเผยต่ออินเทอร์เน็ต และทำการ Escape โฮสต์คอนเทนเนอร์เพื่อเข้าถึงเครือข่ายหลักที่โฮสต์อินสแตนซ์ Docker ที่ถูกบุกรุก TrendMicro ยังตั้งข้อสังเกตอีกว่าเมื่อมองหาอินสแตนซ์ที่มีช่องโหว่อื่นๆ ตัวแสดงภัยคุกคามจะตรวจสอบพอร์ตที่ตรวจพบในแคมเปญบ็อตเน็ตแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) ก่อนหน้านี้ด้วย "การโจมตีครั้งล่าสุดนี้เป็นการเน้นย้ำถึงความซับซ้อนที่เพิ่มขึ้นซึ่งเซิร์ฟเวอร์ที่ถูกเปิดเผยถูกโจมตี โดยเฉพาะอย่างยิ่งจากผู้คุกคามที่มีความสามารถ เช่น TeamTNT ซึ่งใช้ข้อมูลประจำตัวของผู้ใช้ที่ถูกบุกรุกเพื่อตอบสนองต่อแรงจูงใจที่เป็นอันตราย" นักวิจัยสรุปโดยสังเกตว่ามีการโจมตีแล้ว นักเทียบท่าและบัญชีที่เกี่ยวข้องกับการโจมตีนี้ถูกลบออกแล้ว ปกป้องเซิร์ฟเวอร์ของคุณด้วยความช่วยเหลือของหนึ่งในแอพและบริการไฟร์วอลล์ที่ดีที่สุด และตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ของคุณใช้เครื่องมือป้องกันปลายทางที่ดีที่สุดเหล่านี้เพื่อป้องกันการโจมตีทุกประเภท