趨勢科技的威脅研究團隊隨時都在密切監控一些經常遭到攻擊的漏洞和組態設定錯誤。其中一個經常遭到攻擊的組態設定錯誤就是暴露在外的 Docker REST API。
2021 年 10 月,我們發現有駭客專門攻擊一些因組態設定不當而暴露在外的 Docker REST API,並啟動一些容器映像來執行惡意腳本,這些腳本會執行以下動作:
- 下載或內嵌門羅幣 (Monero) 挖礦程式。
- 利用一些已知的技巧從容器逃逸至主機。
- 執行網際網路掃描,試圖尋找已遭入侵的容器所暴露的連接埠。
Docker Hub 帳號遭 TeamTNT 集團入侵並用於挖礦