Um grupo de crimes cibernéticos que já atingiu os ambientes de nuvem de Docker e Kubernetes evoluiu para reutilizar ferramentas genuínas de monitoramento em nuvem como um backdoor para realizar ataques maliciosos, de acordo com novas pesquisas.
“Pelo que sabemos, esta é a primeira vez que os atacantes são pegos usando software legítimo de terceiros para direcionar a infraestrutura em nuvem”, disse a empresa israelense de cibersegurança Intezer em uma análise de terça-feira.
Usando um software chamado Weave Scope, que é usado como uma ferramenta de visualização e monitoramento para serviços Docker e Kubernetes, o ator de ameaças TeamTNT não só mapeou o ambiente de nuvem de suas vítimas, mas também executou comandos do sistema sem ter que implantar código malicioso no servidor de destino explicitamente.
A TeamTNT está ativa pelo menos desde o final de abril deste ano, direcionando seus ataques às portas Docker desconfiguradas para instalar um malware de mineração de criptomoedas e um bot DDoS (Distributed Denial-of-Service).
Então, no mês passado,a gangue de cripto-mineração atualizou seu modus operandi para exfiltrar logins da Amazon Web Services (AWS) digitalizando os sistemas Docker e Kubernetes infectados para obter informações confidenciais de credenciais armazenadas em credenciais AWS e arquivos config.
Embora seu método de ganhar base inicial não tenha mudado, o que foi ajustado é o modo de ganhar controle sobre a própria infraestrutura do hospedeiro infectado.
Uma vez que os invasores encontraram seu caminho, eles criaram um novo contêiner privilegiado com uma imagem Ubuntu limpa, usando-o para baixar e executar criptominers, obter acesso raiz ao servidor criando um usuário privilegiado local chamado ‘hilde’ para se conectar ao servidor via SSH e, eventualmente, instalar o Weave Scope.
“Ao instalar uma ferramenta legítima como o Weave Scope, os invasores colhem todos os benefícios como se tivessem instalado um backdoor no servidor, com significativamente menos esforço e sem precisar usar malware”, disse Nicole Fishbein, da Intezer. Embora o objetivo final do TeamTNT pareça ser gerar dinheiro através da mineração de criptomoedas, inúmeros grupos que recorreram à implantação de worms de cryptojacking são bem sucedidos em comprometer sistemas corporativos em parte por causa de pontos finais de API expostos, tornando-os um alvo atraente para cibercriminosos.
Recomenda-se que os pontos finais da API do Docker sejam restritos para evitar que os adversários assumam o controle sobre os servidores.
“O Weave Scope usa a porta padrão 4040 para tornar o painel de instrumentos acessível e qualquer pessoa com acesso à rede pode visualizar o painel de instrumentos.
Semelhante à porta Docker API, essa porta deve ser fechada ou restrita pelo firewall”, disse a empresa de segurança cibernética.
FONTE: THE HACKER NEWS