adlı TeamTNT grubu tarafından başlatılan agresif bir bulut kampanyasının parçası olarak 196 kadar ana bilgisayara virüs bulaştı. sessiz bob.
Aqua güvenlik araştırmacıları Ofek Itach ve Assaf Morag, “TeamTNT tarafından yürütülen botnet, gözünü Docker ve Kubernetes ortamları, Redis sunucuları, Postgres veritabanları, Hadoop kümeleri, Tomcat ve Nginx sunucuları, Weave Scope, SSH ve Jupyter uygulamalarına dikti.” The Hacker News ile paylaşılan bir rapor.
“Bu sefer odak noktası, kar için kripto madencileri dağıtmak yerine sistemlere bulaşmak ve botnet’i test etmek gibi görünüyor.”
Geliştirme, bulut güvenlik şirketinin, Tsunami kötü amaçlı yazılımını dağıtmak ve bir kripto para madencisi çalıştırmak için sistem kaynaklarını ele geçirmek için açığa çıkan JupyterLab ve Docker API’lerini hedefleyen TeamTNT grubuna bağlı bir izinsiz giriş setini detaylandırmasından bir hafta sonra geldi.
En son bulgular, kimlik bilgilerini çalmak, SSH arka kapılarını konuşlandırmak, ek yükler indirmek ve keşif yapmak için kubectl, Pacu ve Peirates gibi meşru araçları bırakmak için çeşitli kabuk betikleri dahil olmak üzere daha önce düşünülenden daha geniş bir kampanya ve daha büyük bir saldırı altyapısının kullanıldığını gösteriyor. bulut ortamı.
Saldırı zincirleri, yanlış yapılandırılmış örnekler için interneti taramak ve yeni tanımlanan kurbanlara Tsunami ve bir solucan komut dosyası bulaştırmak ve daha fazla makineyi bir botnet’e dahil etmek için Docker Hub’da barındırılan hileli konteyner görüntülerinin konuşlandırılmasıyla gerçekleştirilir.
Araştırmacılar, “Bu botnet, bulutta hızla çoğalan ve Yazılım Geliştirme Yaşam Döngüsü (SDLC) içindeki çok çeşitli hizmetleri ve uygulamaları hedefleyen, özellikle saldırgandır” dedi. “Etkileyici bir hızda çalışıyor ve olağanüstü tarama yeteneği gösteriyor.”
Tsunami, komuta ve kontrol (C2) sunucusuna bağlanmak için Internet Relay Chat (IRC) protokolünü kullanır ve ardından kontrolü altındaki tüm virüs bulaşmış ana bilgisayarlara komutlar verir ve böylece tehdit aktörünün arka kapı erişimini sürdürmesine izin verir.
Dahası, kripto madenciliği yürütmesi, etkin işlemlerin listesini almak için saldırıya uğramış sistemde bir ps komutu çalıştırıldığında algılanmasını önlemek için prochider adlı bir rootkit kullanılarak gizlenir.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
Araştırmacılar, “TeamTNT, AWS, Azure ve GCP dahil olmak üzere birden çok bulut ortamında kimlik bilgilerini tarıyor” dedi. Tehdit aktörlerinin ticaret araçlarını geliştirdiğine dair en son kanıt.
“Yalnızca genel kimlik bilgilerini değil, aynı zamanda Grafana, Kubernetes, Docker Compose, Git erişimi ve NPM gibi belirli uygulamaları da arıyorlar. Ek olarak, Postgres, AWS S3, Filezilla ve SQLite gibi veritabanlarını ve depolama sistemlerini arıyorlar. “
Gelişme, Sysdig’in SCARLETEEL tarafından veri hırsızlığı yapmak ve güvenliği ihlal edilmiş sistemlerde kripto para madencilerini dağıtmak amacıyla AWS altyapısını tehlikeye atmak için düzenlediği yeni bir saldırıyı ifşa etmesinden günler sonra geldi.
SCARLETEEL’i TeamTNT’ye bağlayan dolaylı bağlantılar olsa da Aqua, The Hacker News’e izinsiz giriş setinin aslında tehdit aktörüyle bağlantılı olduğunu söyledi.
Aqua Nautilus araştırma ekibinin baş veri analisti Morag, “Bu, TeamTNT’nin başka bir kampanyası” dedi. “SCARLETEEL IP adresi, 45.9.148[.]221, birkaç gün önce TeamTNT’nin IRC kanalı C2 sunucusunda kullanıldı. Komut dosyaları çok benzer ve TTP’ler aynı. Görünüşe göre TeamTNT saldırmayı hiç bırakmadı. Eğer emekli oldularsa, bu sadece kısa bir an içindi.”