28 de abril de 2024

Ferramenta TeamTNT usa software “Weave Scope” para direcionar ataques em infraestrutura de nuvem

13 de setembro de 2020

No passado, vários grupos de hackers proeminentes foram observados usando ferramentas legítimas, como utilitários de sistema operacional, para realizar seus ataques. No entanto, recentemente, um grupo de hackers apelidado de TeamTNT abusou de uma ferramenta legítima de terceiros, Weave Scope, para atingir a infraestrutura de nuvem pela primeira vez.

Explorando a ferramenta do comércio

Os pesquisadores da Intezer descobriram que o grupo cibercriminoso TeamTNT usou a ferramenta Weave Scope para obter visibilidade total e assumir o controle de todos os ativos na infraestrutura em nuvem da vítima.

  • Usando o Weave Scope, os invasores podem executar comandos do sistema sem implantar código malicioso no servidor da vítima, funcionando essencialmente como uma entrada de backdoor genuína.
  • A ferramenta pode permitir que os invasores obtenham acesso total ao Docker, Kubernetes, ao sistema operacional de nuvem distribuída (DC / OS) e ao AWS Elastic Compute Cloud (ECS), incluindo todas as informações e metadados sobre contêineres, processos e hosts.

Como funciona?

  • O invasor usa uma porta Docker exposta para criar um novo contêiner privilegiado com uma imagem limpa do Ubuntu, que é configurada para ser montada no servidor da vítima. 
  • O invasor então tenta obter acesso root configurando um usuário local privilegiado no servidor host e aproveitando isso para instalar o Weave Scope.
  • Após a instalação, os invasores podem se conectar ao painel do Weave Scope via HTTP na porta 4040 para assumir o controle da infraestrutura de destino.

Golpes recentes da TeamTNT

O TeamTNT vem evoluindo com o tempo e tem sido observado adotando novas táticas em seus ataques recentes.

  • Em agosto , TeamTNT se tornou o primeiro grupo a adicionar funcionalidade específica da AWS para roubar credenciais locais e fazer a varredura na Internet em busca de plataformas Docker configuradas incorretamente.
  • Identificado pela primeira vez em maio , o robô de mineração de criptomoeda TeamTNT e DDoS tinha como alvo portas abertas daemon do Docker.

Declaração de encerramento

TeamTNT tem como alvo principalmente instalações Docker e outros tipos de infraestrutura em nuvem. A configuração precisa e correta de cargas de trabalho e serviços em nuvem pode ajudar os usuários a prevenir muitos ataques. Para mitigar os ataques, os usuários são recomendados a fechar as portas expostas da API Docker, bloquear as conexões de entrada para a porta 4040 e proteger seus servidores de nuvem Linux e contêineres em tempo de execução contra código não autorizado.

Fonte: https://cyware.com/news/teamtnt-abuses-weave-scope-tool-to-target-cloud-infrastructure-a0f442fb

Matérias Relacionadas

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024