Эксперты по кибербезопасности Aqua Security предупредили, что печально известная хакерская группа TeamTNT начала подготовку к новой киберпреступной кампании против облачных сред. Причина этому — обнаружение злоумышленника, охотящегося за неправильно сконфигурированными серверами.
Компания Aqua Security начала проводить расследование после обнаружения атаки на одну из своих систем-приманок. В ходе расследования экспертами были найдены четыре образа вредоносных контейнеров. Учитывая, что некоторые функции кода так и не были применены, и учитывая наличие признаков ручного тестирования, исследователи предполагают, что хакеры всё ещё не полностью активировали свою кампанию.
Было замечено, что данная вредоносная ИТ-инфраструктура находится на ранних этапах тестирования и развертывания. Она в основном представляет собой агрессивного облачного червя, разработанного для использования открытых API-интерфейсов JupyterLab и Docker для развертывания вредоносного программного обеспечения Tsunami, захвата облачных учетных данных, присвоения ресурсов и дальнейшего распространения заражения.
Специалисты по кибербезу из Aqua Security напомнили, что TeamTNT — киберпреступная группа, известная агрессивными атаками на облачные системы, особенно на среды Docker и Kubernetes. Они специализируются на криптомайнинге, хотя со временем развились и совершали иные вредоносные действия.
Несмотря на то, что TeamTNT, как сообщалось, прекратила свою деятельность еще в конце 2021 года, компания Aqua Security связала новую кампанию с группой с помощью обычно используемого вредоносного ПО Tsunami, использования функции dAPIpwn и сервера C2, который отвечает на немецком языке.
Исследователи Aqua Security не исключают деятельность «продвинутого подражателя», хотя это должна быть такая же сложная группа, способная эмулировать код TeamTNT и обладающая «особым чувством юмора» и «близостью к голландскому языку».
Новая активность угроз, выявленная экспертами Aqua Security, начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (CLI) для сканирования и выявления дополнительных жертв.
Подробнее об этом можно прочитать в блоге компании Aqua Security.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.