В последнее время атака, хакеры группы Тимтнт полагался на законный инструмент, чтобы избежать развития вредоносного ПО код в нарушенной облачной инфраструктуре. В частности, они использовали инструмент с открытым исходным кодом, созданный для мониторинга и управления облачными средами с помощью Докер и Kubernetes, тем самым уменьшая их размер до скомпрометированного сервер.
Анализируя атаку, следователи компании по кибербезопасности «Интезер» обнаружил, что помимо использования вредоносных изображений Докер для заражения серверов жертв, о чем уже было известно, TeamTNT теперь использует Область Плетения как эффективный задняя дверь в облачной сетевой инфраструктуре своих целей, согласно анализу Intezer.
The Weave Scope, разработанная Ткацкие работы, это надежный инструмент, который дает пользователям полный доступ к их облачной среде и интегрирован в Docker, Kubernetes, Распределенная облачная операционная система (DC / OS) и AWS Elastic Compute Cloud (ECS). Однако хакеры воспользовались этим инструментом для сопоставления окружения жертв и выполнения системных команд без необходимости разработки вредоносного кода. Эта новая тактика указывает на эволюцию этой банды.
По словам исследователя безопасности Intezer Николь Фишбейн, это первый раз, когда было обнаружено, что хакеры злоупотребляют законной третьей стороной. программного обеспечения. для таргетинга на облачную инфраструктуру. Таким образом, хакеры имели полную видимость и контроль над информацией, содержащейся в облачной среде жертвы, эффективно действуя как бэкдор. Фишбейн также отмечает, что, установив законный инструмент, такой как Weave Scope, злоумышленники получают все преимущества, как если бы они установили бэкдор на сервере, со значительно меньшими усилиями и без необходимости использовать вредоносных программ.
Чтобы установить законный инструмент «Weave Scope», хакеры использовали открытый порт API Docker и создали новый привилегированный контейнер с чистым образом Ubuntu. Затем этот контейнер был настроен для подключения система файлы-контейнеры в файловой системе сервера жертвы и, следовательно, предоставляют злоумышленникам доступ ко всем файлам сервера.
Первоначальная команда, как заметил Intezer, заключалась в загрузке и выполнении множества криптомайнеров. Затем хакеры попытались получить root-доступ к серверу, создав локального привилегированного пользователя на главном сервере, которого они использовали для повторного подключения через Secure Shell (SSH). Затем они загрузили и установили Weave Scope, который после запуска подключил хакеров к панели инструментов Weave Scope через HTTP на порт 4040.
Intezer рекомендует организациям закрыть все открытые порты Docker API, чтобы предотвратить первоначальное вторжение, поскольку эта атака использует неверную конфигурацию Docker API. Поэтому все порты API Docker должны быть закрыты или содержать политики ограниченного доступа. брандмауэр. Организации также должны блокировать входящие подключения к порту 4040, поскольку Weave Scope использует его по умолчанию, чтобы сделать панель мониторинга доступной.
Greek
Chinese (Simplified)
English
Greek
Russian