Хакеры пользуются легальным инструментом для получения доступа к платформам Docker и Kubernetes

Дата: 09.09.2020. Автор: Артем П. Категории: Новости по информационной безопасности

Киберпреступная группировка TeamTNT в нескольких недавно проведенных кампаниях пользовалась легальным инструментом, чтобы не тратить время и не развертывать вредоносный код в скомпрометированной облачной инфраструктуре, полностью ее контролируя.

Хакеры из TeamTNT использовали инструмент с открытым исходным кодом, специально созданный для мониторинга и управления облачными средами с платформами Docker и Kubernetes, что существенно снизило их воздействие на атакуемый сервер.

Анализируя кибератаку, ИБ-эксперты из компании Intezer выявили, что группа TeamTNT установила инструмент с открытым исходным кодом Weave Scope, чтобы получить контроль над облачной инфраструктурой жертвы. По словам специалистов, это может быть первый случай злоупотребления легальным сторонним инструментом для применения его в роли бэкдора в облачной среде, что также указывает на развитие группировки TeamTNT.

Инструмент Weave Scope легко интегрируется с Docker, Kubernetes, распределенной облачной операционной системой (DC/OS) и AWS Elastic Compute Cloud (ECS). Инструмент предоставляет полную карту процессов, контейнеров и хостов на сервере, а также передает контроль над установленными приложениями.

«Киберпреступники устанавливают Weave Scope, чтобы получить отображение облачной среды жертвы и выполнять системные команды без предварительного развёртывания вредоносного кода на сервере», –  отмечает компания Intezer в опубликованном отчете.

Группировка TeamTNT появилась в поле зрения ИБ-экспертов в начале мая 2020 г. Изначально она специализировалась на взломе систем для майнинга криптовалюты. Компания Trend Micro ранее сообщала, что хакеры из TeamTNT сканировали Интернет на предмет открытых портов Docker.

В прошлом месяце британская компания Cado Security опубликовала отчет с доказательствами того, что червь-майнер от группировки TeamTNT также может украсть учетные данные и файлы конфигурации AWS из экземпляров Docker и Kubernetes.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *