Киберпреступная группировка TeamTNT в нескольких недавно проведенных кампаниях пользовалась легальным инструментом, чтобы не тратить время и не развертывать вредоносный код в скомпрометированной облачной инфраструктуре, полностью ее контролируя.
Хакеры из TeamTNT использовали инструмент с открытым исходным кодом, специально созданный для мониторинга и управления облачными средами с платформами Docker и Kubernetes, что существенно снизило их воздействие на атакуемый сервер.
Анализируя кибератаку, ИБ-эксперты из компании Intezer выявили, что группа TeamTNT установила инструмент с открытым исходным кодом Weave Scope, чтобы получить контроль над облачной инфраструктурой жертвы. По словам специалистов, это может быть первый случай злоупотребления легальным сторонним инструментом для применения его в роли бэкдора в облачной среде, что также указывает на развитие группировки TeamTNT.
Инструмент Weave Scope легко интегрируется с Docker, Kubernetes, распределенной облачной операционной системой (DC/OS) и AWS Elastic Compute Cloud (ECS). Инструмент предоставляет полную карту процессов, контейнеров и хостов на сервере, а также передает контроль над установленными приложениями.
«Киберпреступники устанавливают Weave Scope, чтобы получить отображение облачной среды жертвы и выполнять системные команды без предварительного развёртывания вредоносного кода на сервере», – отмечает компания Intezer в опубликованном отчете.
Группировка TeamTNT появилась в поле зрения ИБ-экспертов в начале мая 2020 г. Изначально она специализировалась на взломе систем для майнинга криптовалюты. Компания Trend Micro ранее сообщала, что хакеры из TeamTNT сканировали Интернет на предмет открытых портов Docker.
В прошлом месяце британская компания Cado Security опубликовала отчет с доказательствами того, что червь-майнер от группировки TeamTNT также может украсть учетные данные и файлы конфигурации AWS из экземпляров Docker и Kubernetes.
