Hasta 196 hosts han sido infectados como parte de una agresiva campaña en la nube montada por el grupo TeamTNT llamada Bob silencioso.
«La botnet dirigida por TeamTNT ha puesto su mirada en los entornos Docker y Kubernetes, los servidores Redis, las bases de datos Postgres, los clústeres Hadoop, los servidores Tomcat y Nginx, las aplicaciones Weave Scope, SSH y Jupyter», dijeron los investigadores de seguridad de Aqua, Ofek Itach y Assaf Morag. dicho en un informe compartido con The Hacker News.
«El enfoque esta vez parece estar más en infectar sistemas y probar la botnet, en lugar de implementar criptomineros con fines de lucro».
El desarrollo llega una semana después de que la compañía de seguridad en la nube detallara un conjunto de intrusiones vinculado al grupo TeamTNT que apunta a las API expuestas de JupyterLab y Docker para implementar el malware Tsunami y secuestrar los recursos del sistema para ejecutar un minero de criptomonedas.
Los últimos hallazgos sugieren una campaña más amplia y el uso de una infraestructura de ataque más grande de lo que se pensaba anteriormente, incluidos varios scripts de shell para robar credenciales, implementar puertas traseras SSH, descargar cargas útiles adicionales y eliminar herramientas legítimas como kubectl, Pacuy Piratas para llevar a cabo el reconocimiento del entorno de la nube.
Las cadenas de ataque se realizan a través de la implementación de imágenes de contenedores no autorizadas alojadas en Docker Hub, que están diseñadas para escanear Internet en busca de instancias mal configuradas e infectar a las víctimas recién identificadas con Tsunami y un script de gusano para cooptar más máquinas en una red de bots.
«Esta botnet es notablemente agresiva, prolifera rápidamente en la nube y se dirige a una amplia gama de servicios y aplicaciones dentro del ciclo de vida de desarrollo de software (SDLC)», dijeron los investigadores. «Funciona a una velocidad impresionante, demostrando una notable capacidad de escaneo».
Tsunami utiliza Internet Relay Chat (IRC) para conectarse al servidor de comando y control (C2), que luego emite comandos a todos los hosts infectados bajo su control, lo que permite que el actor de amenazas mantenga el acceso de puerta trasera.
Además, la ejecución del cryptomining se oculta mediante un rootkit llamado prochider para evitar que sea detectado cuando un comando pd se ejecuta en el sistema pirateado para recuperar la lista de procesos activos.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
“TeamTNT está buscando credenciales en múltiples entornos de nube, incluidos AWS, Azure y GCP”, dijeron los investigadores. Es la evidencia más reciente de que los actores de amenazas están mejorando su oficio.
«No solo buscan credenciales generales, sino también aplicaciones específicas como Grafana, Kubernetes, Docker Compose, Git access y NPM. Además, buscan bases de datos y sistemas de almacenamiento como Postgres, AWS S3, Filezilla y SQLite. «
El desarrollo se produce días después de que Sysdig revelara un nuevo ataque montado por SCARLETEEL para comprometer la infraestructura de AWS con el objetivo de realizar el robo de datos y distribuir mineros de criptomonedas en sistemas comprometidos.
Si bien hubo vínculos circunstanciales que conectan a SCARLETEEL con TeamTNT, Aqua le dijo a The Hacker News que el equipo de intrusión está de hecho vinculado al actor de amenazas.
«Esta es otra campaña de TeamTNT», dijo Morag, analista principal de datos del equipo de investigación de Aqua Nautilus. «La dirección IP de SCARLETEEL, 45.9.148[.]221, se usó hace unos días en el servidor C2 del canal IRC de TeamTNT. Los scripts son muy similares y los TTP son los mismos. Parece que TeamTNT nunca dejó de atacar. Si alguna vez se retiraron, fue solo por un breve momento».