Найти тему

Aqua Security: всё указывает на скорый рост Docker-атак со стороны группы TeamTNT

   Изображение: Mika Baumeister (unsplash)
Изображение: Mika Baumeister (unsplash)

Эксперты по кибербезопасности Aqua Security предупредили, что печально известная хакерская группа TeamTNT начала подготовку к новой киберпреступной кампании против облачных сред. Причина этому — обнаружение злоумышленника, охотящегося за неправильно сконфигурированными серверами.

Компания Aqua Security начала проводить расследование после обнаружения атаки на одну из своих систем-приманок. В ходе расследования экспертами были найдены четыре образа вредоносных контейнеров. Учитывая, что некоторые функции кода так и не были применены, и учитывая наличие признаков ручного тестирования, исследователи предполагают, что хакеры всё ещё не полностью активировали свою кампанию.

Было замечено, что данная вредоносная ИТ-инфраструктура находится на ранних этапах тестирования и развертывания. Она в основном представляет собой агрессивного облачного червя, разработанного для использования открытых API-интерфейсов JupyterLab и Docker для развертывания вредоносного программного обеспечения Tsunami, захвата облачных учетных данных, присвоения ресурсов и дальнейшего распространения заражения.

Специалисты по кибербезу из Aqua Security напомнили, что TeamTNT — киберпреступная группа, известная агрессивными атаками на облачные системы, особенно на среды Docker и Kubernetes. Они специализируются на криптомайнинге, хотя со временем развились и совершали иные вредоносные действия.

Несмотря на то, что TeamTNT, как сообщалось, прекратила свою деятельность еще в конце 2021 года, компания Aqua Security связала новую кампанию с группой с помощью обычно используемого вредоносного ПО Tsunami, использования функции dAPIpwn и сервера C2, который отвечает на немецком языке.

Исследователи Aqua Security не исключают деятельность «продвинутого подражателя», хотя это должна быть такая же сложная группа, способная эмулировать код TeamTNT и обладающая «особым чувством юмора» и «близостью к голландскому языку».

Новая активность угроз, выявленная экспертами Aqua Security, начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (CLI) для сканирования и выявления дополнительных жертв.

Подробнее об этом можно прочитать в блоге компании Aqua Security.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.