TeamTNT が狙い続ける Docker:脆弱なコンフィグレーションは禁物だ

TeamTNT hackers target your poorly configured Docker servers

2021/11/09 BleepingComputer — 先月からハッキング・グループ TeamTNT が開始したキャンペーンで、設定の甘い Docker サーバーが積極的に狙われていることが判明した。TrendMicro の研究者たちの報告書によると、この脅威アクターの目的は、Monero 暗号のインストール、および、インターネットに公開されている脆弱な Docker インスタンスのスキャン、そして、コンテナからホストへのエスケープの実行によるメイン・ネットワークへのアクセスの3つである。

この TeamTNT の攻撃攻撃は、公開されている Docker REST API を使用して、脆弱なホスト上にコンテナを作成することから始まる。そして、侵害され脅威アクターに管理される Docker Hub アカウントを使用して、悪意のイメージをホストし、標的となるホストにデプロイしていく。

TrendMicro が確認したのは、このキャンペーンの一環として、悪意の Docker Hub アカウントから 15万回以上もイメージが pull されたことである。続いて、ドロップされたコンテナは cronjob を実行し、コンテナ・エスケープ・スクリプト/クレデンシャル・スティーラー/暗号通貨マイナー/横移動ツールなどの、エクスプロイト後に使われるツールが取得される。

また、その他の脆弱なインスタンスをスキャンする際には、過去の DDoS ボットネット・キャンペーンで観測された、Port 2375/2376/2377/4243/4244 を確認していく。さらに、OS の種類/アーキテクチャ/CPU コア数/コンテナ・レジストリなどのサーバー情報を収集しようとする。

作成されたコンテナ・イメージは、AlpineOS システムをベースにしており、基礎となるホストに対してルート・レベルの権限を許可するフラグを付けて実行される。
最後に、TeamTNT のインフラに使用されている IP アドレス (45[.]9[.]148[.]182) は、過去にマルウェアを提供した複数のドメインと関連している。

前回のキャンペーンで基礎を固めた

TrendMicro の報告によると、今回のキャンペーンにおいても、TeamTNT が管理するDocker Hub の危険なアカウントが使用され、悪意の Docker イメージが投下されている。

侵害された Docker Hub アカウントを使用することで、マッピング/レポート/テイクダウンが困難になるため、脅威アクターによる配布ポイントの信頼性が高まる。
TrendMicro が分析した7月のキャンペーンで、資格情報スティーラーがディプロイされた際に、この脅威アクターは Docker Hub の資格情報を収集していることが確認されている。

本日の TrendMicro の発表によると、「2021年7月に実施した TeamTNT に関する調査では、以前に同グループが使用してきたツールにより、設定ファイルから資格情報が集められていたことが分かった。つまり、今回の攻撃で侵害されたサイトで用いた情報が、そのときに集められた可能性がある」と説明している。このように、TeamTNT は、組織的かつ目的意識を持って目標を達成するという、高度な作戦計画を示している。

Docker システムに対する恒久的な脅威

TeamTNT は、常に技術を進化させ、短期的なターゲットの焦点を変えながらも、脆弱な Docker システムへの恒常的な脅威であり続ける、洗練された脅威アクターである。

彼らは、2020年8月に Docker と Kubernetes を一斉に悪用するというワームを初めて作成している。2020年10月には、Docker インスタンスを標的に、Monero のマイニングと認証情報の窃取機能を追加した。2021年1月に、TeamTNT はマイニング機能をアップグレードし、高度な検知回避トリックを用いる一方で、侵害したサーバーからユーザー認証情報を採取している。

その一方で、Docker が提供する、いくつかのヒントには、この種の攻撃を防ぐために、Docker の REST API をロックダウンさせる方法などが含まれている。Docker のセキュリティ・ガイドには、「API エンド・ポイントを、HTTPS と証明書で保護することは必須である。また、信頼できるネットワークや VPN を介してのみ、到達できるようにすることが推奨される」と説明されている。

コンテナの脆弱性や、それを悪用する攻撃に対して、どのようにすれば良いのでしょうか? 8月にポストした、「クラウドの Linux が標的になり始めている:コンテナの中身は大丈夫?」には、そのためのヒントがたくさん詰まっています。考えるべきことは、「イメージの安全性、イメージの信頼性、そして適切なアイデンティティとアクセスの確保」だと述べています。また、カテゴリ Contianer もありますので、よろしければ、ご利用ください。

%d bloggers like this: