Плохо настроенные серверы Docker и активно становятся целью хакерской группы TeamTNT в рамках продолжающейся кампании, начатой в прошлом месяце.
Согласно отчету исследователей TrendMicro, участники преследуют три различные цели: установить криптомайнеры Monero, просканировать другие уязвимые экземпляры Docker.
Как показано в рабочем процессе, атака начинается с создания контейнера на уязвимом хосте с использованием открытого Docker REST API. Затем TeamTNT использует скомпрометированные или контролируемые субъектом учетные записи Docker Hub для размещения вредоносных образов и их развертывания на целевом хосте. В рамках этой кампании компания TrendMicro зафиксировала более 150 000 загрузок образов из вредоносных учетных записей Docker Hub.