Ferramenta TeamTNT usa software “Weave Scope” para direcionar ataques em infraestrutura de nuvem

Explorando a ferramenta do comércio

Os pesquisadores da Intezer descobriram que o grupo cibercriminoso TeamTNT usou a ferramenta Weave Scope para obter visibilidade total e assumir o controle de todos os ativos na infraestrutura em nuvem da vítima.

• Usando o Weave Scope, os invasores podem executar comandos do sistema sem implantar código malicioso no servidor da vítima, funcionando essencialmente como uma entrada de backdoor genuína.
• A ferramenta pode permitir que os invasores obtenham acesso total ao Docker, Kubernetes, ao sistema operacional de nuvem distribuída (DC / OS) e ao AWS Elastic Compute Cloud (ECS), incluindo todas as informações e metadados sobre contêineres, processos e hosts.

Como funciona?

• O invasor usa uma porta Docker exposta para criar um novo contêiner privilegiado com uma imagem limpa do Ubuntu, que é configurada para ser montada no servidor da vítima.
• O invasor então tenta obter acesso root configurando um usuário local privilegiado no servidor host e aproveitando isso para instalar o Weave Scope.
• Após a instalação, os invasores podem se conectar ao painel do Weave Scope via HTTP na porta 4040 para assumir o controle da infraestrutura de destino.

Golpes recentes da TeamTNT

O TeamTNT vem evoluindo com o tempo e tem sido observado adotando novas táticas em seus ataques recentes.

• Em agosto , TeamTNT se tornou o primeiro grupo a adicionar funcionalidade específica da AWS para roubar credenciais locais e fazer a varredura na Internet em busca de plataformas Docker configuradas incorretamente.
• Identificado pela primeira vez em maio , o robô de mineração de criptomoeda TeamTNT e DDoS tinha como alvo portas abertas daemon do Docker.

Declaração de encerramento

TeamTNT tem como alvo principalmente instalações Docker e outros tipos de infraestrutura em nuvem. A configuração precisa e correta de cargas de trabalho e serviços em nuvem pode ajudar os usuários a prevenir muitos ataques. Para mitigar os ataques, os usuários são recomendados a fechar as portas expostas da API Docker, bloquear as conexões de entrada para a porta 4040 e proteger seus servidores de nuvem Linux e contêineres em tempo de execução contra código não autorizado.

Fonte: https://cyware.com/news/teamtnt-abuses-weave-scope-tool-to-target-cloud-infrastructure-a0f442fb