Nearly 50,000 IPs compromised in Kubernetes clusters by TeamTNT
2021/05/26 SecurityAffairs — Trend Micro の研究者たちが、TeamTNT グループが実施したクリプトジャッキング・キャンペーンにおいて、複数の Kubernetes クラスターで 約50,000の IP が侵害されたと報告した。
Kubernetes は、アプリケーションのデプロイ/スケーリング/マネージメントを自動化するための、オープンソース・コンテナ・オーケストレーション・システムである。そして Kubernetes は、複数のホストにまたがるクラスターを取り込んだ、アプリケーション・コンテナの展開/拡張 /運用を自動化する、プラットフォーム の提供を目的としている。
Trend Micro は、「複数のクラスターを横断するかたちで、TeamTNT が引き起こした攻撃により、約50,000 の IP が侵害されたことを発見した。いくつかの IP は、3月から5月の間に繰り返し悪用されていた。侵害されたノードの大半は中国と米国のものであり、ISP (Internet Service Provider) リストで特定できる。つまり、中国と米国を拠点とするプロバイダが上位でヒットするが、そこには CSP (Cloud Service Provider) も含まれる。
TeamTNT ボットネットとは、2020年4月から活動している、Docker インストールを標的としたクリプト・マイニング・マルウェアとのことです。そして、2020年の8月には、設定ミスのある Kubernetes インストールも、TeamTNT ボットネットの標的になり得ることを、Cado Security の専門家が発見したようです。
IoT OT Security News 