Cibercriminosos estão usando ferramentas legítimas de monitoramento em nuvem como backdoor

Views: 31
0 0
Read Time:2 Minute, 15 Second

Um grupo de crimes cibernéticos que já atingiu os ambientes de nuvem de Docker e Kubernetes evoluiu para reutilizar ferramentas genuínas de monitoramento em nuvem como um backdoor para realizar ataques maliciosos, de acordo com novas pesquisas.

“Pelo que sabemos, esta é a primeira vez que os atacantes são pegos usando software legítimo de terceiros para direcionar a infraestrutura em nuvem”, disse a empresa israelense de cibersegurança Intezer em uma análise de terça-feira.

Usando um software chamado Weave Scope, que é usado como uma ferramenta de visualização e monitoramento para serviços Docker e Kubernetes, o ator de ameaças TeamTNT não só mapeou o ambiente de nuvem de suas vítimas, mas também executou comandos do sistema sem ter que implantar código malicioso no servidor de destino explicitamente.

A TeamTNT está ativa pelo menos desde o final de abril deste ano, direcionando seus ataques às portas Docker desconfiguradas para instalar um malware de mineração de criptomoedas e um bot DDoS (Distributed Denial-of-Service).

Então, no mês passado,a gangue de cripto-mineração atualizou seu modus operandi para exfiltrar logins da Amazon Web Services (AWS) digitalizando os sistemas Docker e Kubernetes infectados para obter informações confidenciais de credenciais armazenadas em credenciais AWS e arquivos config.

Embora seu método de ganhar base inicial não tenha mudado, o que foi ajustado é o modo de ganhar controle sobre a própria infraestrutura do hospedeiro infectado.

Uma vez que os invasores encontraram seu caminho, eles criaram um novo contêiner privilegiado com uma imagem Ubuntu limpa, usando-o para baixar e executar criptominers, obter acesso raiz ao servidor criando um usuário privilegiado local chamado ‘hilde’ para se conectar ao servidor via SSH e, eventualmente, instalar o Weave Scope.

DDoS attack

“Ao instalar uma ferramenta legítima como o Weave Scope, os invasores colhem todos os benefícios como se tivessem instalado um backdoor no servidor, com significativamente menos esforço e sem precisar usar malware”, disse Nicole Fishbein, da Intezer. Embora o objetivo final do TeamTNT pareça ser gerar dinheiro através da mineração de criptomoedas, inúmeros grupos que recorreram à implantação de worms de cryptojacking são bem sucedidos em comprometer sistemas corporativos em parte por causa de pontos finais de API expostos, tornando-os um alvo atraente para cibercriminosos.

Recomenda-se que os pontos finais da API do Docker sejam restritos para evitar que os adversários assumam o controle sobre os servidores.

“O Weave Scope usa a porta padrão 4040 para tornar o painel de instrumentos acessível e qualquer pessoa com acesso à rede pode visualizar o painel de instrumentos.

Semelhante à porta Docker API, essa porta deve ser fechada ou restrita pelo firewall”, disse a empresa de segurança cibernética.


FONTE: THE HACKER NEWS

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *