Docker の調査:TeamTNT が仕掛けた不正イメージが 15万回以上もダウンロード

TeamTNT Hits 150K Docker Containers via Malicious Cloud Images

2022/09/14 DarkReading — TeamTNT 脅威グループ・メンバーの明らかな不手際により、不適切なコンフィグレーションで運用されている Docker サーバを、悪用するために用いられていた戦術の一部が暴露された。先日に Trend Micro のセキュリティ研究者たちは、Docker REST API を公開するハニーポットを設置し、広く利用されているクラウド・コンテナ・プラットフォームの脆弱性やミスコンフィグレーションを、一般的な脅威者が悪用する方式を理解しようと試みた。

その結果、クラウドに特化したキャンペーンで知られる TeamTNT が、Docker ハニーポットを悪用する試みを、少なくとも3回は施行したことが発見された。


Trend Micro の脅威リサーチ・エンジニアである Nitesh Surana は、「私たちのハニーポットの1つで、REST API を介して公開された Docker Daemon を用いて、あるサーバを意図的に公開してみた。攻撃者はコンフィグレーションの誤りを発見し、DockerHub レジストリにログインし、ドイツに拠点を置く IP から3回の悪用を試みた。私たちの観察によると、攻撃者の動機は、Docker REST API を悪用して、基盤となるサーバを侵害し、クリプト・ジャッキングを実行することだった」と述べている。

同社の活動の分析により、TeamTNT が管理する DockerHub の無料コンテナ・レジストリ・サービスで、コインマイナーなどの悪意のペイロード配布に使用されていた、少なくとも2つの DockerHub アカウントの認証情報を明らかにできたという。

そのうちの1つである alpineos アカウントでは、ルートキット/Docker コンテナ・エスケープ・キット/XMRig Monero コインマイナー/認証情報スティーラー/Kubernetes エクスプロイト・キットなどの、不正なコンテナイ・メージがホスティングされていた。 

Trend Micro の調べでは、この不正なイメージは 15万回以上もダウンロードされており、広範囲に渡って感染している可能性があるという。

もう1つの sandeep078 アカウントも、同様に不正なコンテナ・イメージをホストしていたが、前者に比べて pull 回数がはるかに少なく、わずか 200回程度だった。Trend Micro は、TeamTNT の Docker レジストリア・カウントの認証情報を流出された、3つのシナリオを指摘している。DockerHub アカウントからのログアウトに失敗した場合や、マシンが自己感染した場合などがあるという。

悪意のクラウド・コンテナ・イメージと便利な機能

開発者たちは、Docker デーモンを REST API で公開し、リモートサーバ上でのコンテナの作成や、Docker コマンドの実行などを行うことが多い。しかし、リモート・サーバが適切に設定されていない場合には、言い換えると一般に公開されている場合などには、そのサーバを攻撃者が悪用できると、Surana は述べている。

このような場合の脅威者は、悪意のスクリプトを実行するイメージから、侵害したサーバ上のコンテナをスピンアップできる。一般的に、これらの悪意のイメージは、DockerHub/Amazon Elastic Container Registry (ECR)/Alibaba Container Registry などの、コンテナ・レジストリでホストされている。これらのレジストリで攻撃者たちは、侵害したアカウントを悪用して不正なイメージをホストするか、または独自のアカウントを確立できると、以前から Trend Micro は指摘している。また、攻撃者は、自分自身のプライベートなコンテナ・レジストリ上で。不正なイメージをホストすることもできる。 

悪意のイメージから起動されたコンテナは、さまざまな悪意の行為に利用される可能性があると Surana は指摘している。彼は、「Docker を実行している サーバの Docker Daemon が、REST API で公開されている場合には、攻撃者が管理するイメージに基づいて、ホスト上のコンテナを悪用/作成できる」と述べている。

サイバー攻撃者とペイロードの選択肢の多さ

Trend Micro は、「これらのイメージには、クリプトマイナー/エクスプロイト・キット/コンテナ・エスケープ・ツール/ネットワーク/列挙ツールが含まれている可能性がある。「攻撃者は、これらのコンテナを使用した環境内で、クリプトジャック/サービス拒否/横移動/権限昇格などのテクニックを実行できる」と分析している。

Surana は、「Docker のような開発者セントリックなツールは、広範囲に悪用されることで知られている。アクセスやクレデンシャルの使用に関するポリシーを作成し、環境の脅威モデルを生成することで、開発者たちを教育することが重要だ」と提唱している。

Surana は、「組織はコンテナや API を常に適切に設定し、悪用が最小限になるようにする必要がある。そのためには、内部ネットワークまたは、信頼できるソースからのアクセスに制限する必要もある。さらに、セキュリティ強化のための Docker ガイドラインに従うべきだ。ユーザーの認証情報を狙う、悪意のオープンソース・パッケージが増加している。そのためユーザーは、認証情報をファイルに保存することを避けるべきだ。その代わりに、クレデンシャル・ストアやヘルパーなどの、ツールを選択することが推奨される」と述べている。

コンテナは、その中にアプリケーションや Web サイトを乗せたまま、自由に場所を移動でき、オンプレミスやクラウドなどの環境をとうこともありません。したがって、とても効率よく IT 環境を管理/運用できるわけですが、そこに目をつけている者に、TeamTNT のような脅威グループがあります。今回は、Trend Micro のセキュリティ研究者たちにグッドジョブで、TeamTNT グループの分析が進んだようですが、その一方では、膨大な量の悪意のイメージが、Docker を介して配布されていることも判明しました。よろしければ、カテゴリ Contianer で、この種のインシデントを確認してみてください。また、Repository で検索すると、各種オープンソース・ライブラリの問題も見えてきます。