Forskare på Trend Micro har dokumenterat ett botnät vid namn TeamTNT, som stjäl Docker-uppgifter nu. TeamTNT infekterar värdarna genom exponerade Docker-API:er och installerar gruvarbetare för kryptovaluta för att bryta mynt. Dessutom stjäl den AWS-referenser förutom att tjäna kryptovalutor.
Ett uppgraderat TeamTNT Botnet
TeamTNTett botnät för gruvdrift för kryptovalutor som utnyttjar Docker API:er för att få tillgång till offrens servrar. Det var det först noterade av Trend Micro-forskare i mitten av 2020, som beskrev sina aktiviteter när de tjänar på felkonfigurerade Docker-API:er, för att komma in och installera programvara för utvinning av kryptovaluta för att tjäna mynten.
Systemoperatörer som använder Docker-mjukvaran och lämnar dess portar öppna utan autentisering riktas mot TeamTNT. De utnyttjar detta för att komma in och sägs stjäla AWS-referenser och installera sin gruvmjukvara för att skapa kryptovalutor.
Nu har samma forskare sagt detta botnät uppgraderades för att stjäla även Docker-uppgifterna.
Läs också – Hur cyberattacker på AI och ML kan få verkliga konsekvenser
Medan den använde AWS-referenser för att svänga in i värdens nätverk (enskild person eller ett företag) och sprida sig till andra anslutna maskiner för att installera programvara för kryptogruvdrift och tjäna mer. Detta gjorde TeamTNT till det första sådana botnätet att stjäla AWS-referenser förutom att tjäna kryptovalutor.
Nu, angående den nya uppdateringensa Trend Micros senior säkerhetsforskare, Alfredo Oliveira,
Eftersom att stjäla Dockers referenser ger det fler fördelar, varnade han användarna för det ställ in brandväggar för att begränsa portåtkomsten, förutom att bara ställa in starka lösenord. Att stänga de vilande portarna och strikt begränsa tillgången till endast ett fåtal kan våga de flesta av botnätsattackerna, vilket vi lär oss från det förflutna.