TeamTNT atinge contêineres do Docker por meio de 150 pulls de imagens de nuvem maliciosas

Um aparente deslize de segurança operacional cometido por um membro do grupo de ameaças TeamTNT expôs algumas das táticas usadas para explorar servidores Docker mal configurados.

Pesquisadores de segurança da Trend Micro criaram recentemente um honeypot com uma API REST do Docker exposta para tentar entender como os agentes de ameaças em geral estão explorando vulnerabilidades e configurações incorretas na amplamente utilizada plataforma de contêineres em nuvem. Eles descobriram o TeamTNT — um grupo conhecido por suas campanhas específicas para nuvem — fazendo pelo menos três tentativas de explorar seu honeypot Docker.

“Em um de nossos honeypots, expusemos intencionalmente um servidor com o Docker Daemon exposto pela API REST”, disse Nitesh Surana, engenheiro de pesquisa de ameaças da Trend Micro. “Os agentes da ameaça encontraram a configuração incorreta e a exploraram três vezes a partir de IPs baseados na Alemanha, onde estavam logados em seu registro DockerHub”, diz Surana. “Com base em nossa observação, a motivação do invasor foi explorar a API REST do Docker e comprometer o servidor subjacente para realizar o cryptojacking.”

O fornecedor de segurança análise da atividade eventualmente levou à descoberta de credenciais de pelo menos duas contas do DockerHub que a TeamTNT controlava (o grupo estava abusando dos serviços gratuitos do Container Registry do DockerHub) e usava para distribuir uma variedade de cargas maliciosas, incluindo mineradores de moedas.

Uma das contas (com o nome “alpineos”) hospedava uma imagem de contêiner maliciosa contendo rootkits, kits para escape de contêiner Docker, o minerador de moedas XMRig Monero, ladrões de credenciais e kits de exploração Kubernetes. 

A Trend Micro descobriu que a imagem maliciosa foi baixada mais de 150,000 mil vezes, o que poderia se traduzir em uma ampla gama de infecções.

A outra conta (sandeep078) hospedava uma imagem de contêiner maliciosa semelhante, mas tinha muito menos “pulls” – apenas cerca de 200 – em comparação com a primeira. A Trend Micro apontou três cenários que provavelmente resultaram no vazamento das credenciais da conta de registro TeamTNT Docker. Isso inclui falha ao sair da conta DockerHub ou a autoinfecção de suas máquinas.

Imagens maliciosas de contêineres de nuvem: um recurso útil

Os desenvolvedores geralmente expõem o daemon do Docker por meio de sua API REST para que possam criar contêineres e executar comandos do Docker em servidores remotos. No entanto, se os servidores remotos não estiverem configurados corretamente – por exemplo, tornando-os acessíveis ao público – os invasores podem explorar os servidores, diz Surana.

Nesses casos, os agentes da ameaça podem criar um contêiner no servidor comprometido a partir de imagens que executam scripts maliciosos. Normalmente, essas imagens maliciosas são hospedadas em registros de contêineres como DockerHub, Amazon Elastic Container Registry (ECR) e Alibaba Container Registry. Os invasores podem usar contas comprometidas nesses registros para hospedar as imagens maliciosas, ou podem estabelecer as suas próprias, observou a Trend Micro anteriormente. Os invasores também podem hospedar imagens maliciosas em seu próprio registro de contêiner privado. 

Os contêineres gerados a partir de uma imagem maliciosa podem ser usados ​​para uma variedade de atividades maliciosas, observa Surana. “Quando um servidor executando o Docker tem seu Docker Daemon exposto publicamente pela API REST, um invasor pode abusar e criar contêineres no host com base em imagens controladas pelo invasor”, diz ele.

Uma infinidade de opções de carga útil para invasores cibernéticos

Essas imagens podem conter criptomineradores, kits de exploração, ferramentas de escape de contêineres, rede e ferramentas de enumeração. “Os invasores podem realizar roubo de criptografia, negação de serviço, movimentação lateral, escalonamento de privilégios e outras técnicas no ambiente usando esses contêineres”, de acordo com a análise.

“Sabe-se que ferramentas centradas no desenvolvedor, como o Docker, são amplamente utilizadas. É importante educar [os desenvolvedores] em geral, criando políticas de acesso e uso de credenciais, bem como gerando modelos de ameaças para seus ambientes”, defende Surana.

As organizações também devem garantir que os contêineres e as APIs estejam sempre configurados corretamente para garantir que as explorações sejam minimizadas. Isto inclui garantir que sejam acessíveis apenas pela rede interna ou por fontes confiáveis. Além disso, devem seguir as diretrizes do Docker para fortalecer a segurança. “Com o número crescente de pacotes maliciosos de código aberto direcionados às credenciais dos usuários”, diz Surana, “os usuários devem evitar armazenar credenciais em arquivos. Em vez disso, eles são aconselhados a escolher ferramentas como lojas de credenciais e ajudantes.”