{"id":852903,"date":"2023-07-13T21:08:55","date_gmt":"2023-07-13T21:08:55","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-red-de-bots-silentbob-de-teamtnt-infecta-196-hosts-en-una-campana-de-ataque-en-la-nube\/"},"modified":"2023-07-13T21:08:58","modified_gmt":"2023-07-13T21:08:58","slug":"la-red-de-bots-silentbob-de-teamtnt-infecta-196-hosts-en-una-campana-de-ataque-en-la-nube","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-red-de-bots-silentbob-de-teamtnt-infecta-196-hosts-en-una-campana-de-ataque-en-la-nube\/","title":{"rendered":"La red de bots Silentbob de TeamTNT infecta 196 hosts en una campa\u00f1a de ataque en la nube"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de julio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Hasta 196 hosts han sido infectados como parte de una agresiva campa\u00f1a en la nube montada por el grupo TeamTNT llamada <strong>Bob silencioso<\/strong>.<\/p>\n<p>&#8220;La botnet dirigida por TeamTNT ha puesto su mirada en los entornos Docker y Kubernetes, los servidores Redis, las bases de datos Postgres, los cl\u00fasteres Hadoop, los servidores Tomcat y Nginx, las aplicaciones Weave Scope, SSH y Jupyter&#8221;, dijeron los investigadores de seguridad de Aqua, Ofek Itach y Assaf Morag. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/teamtnt-reemerged-with-new-aggressive-cloud-campaign\" target=\"_blank\">dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n<p>&#8220;El enfoque esta vez parece estar m\u00e1s en infectar sistemas y probar la botnet, en lugar de implementar criptomineros con fines de lucro&#8221;.<\/p>\n<p>El desarrollo llega una semana despu\u00e9s de que la compa\u00f1\u00eda de seguridad en la nube detallara un conjunto de intrusiones vinculado al grupo TeamTNT que apunta a las API expuestas de JupyterLab y Docker para implementar el malware Tsunami y secuestrar los recursos del sistema para ejecutar un minero de criptomonedas.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Los \u00faltimos hallazgos sugieren una campa\u00f1a m\u00e1s amplia y el uso de una infraestructura de ataque m\u00e1s grande de lo que se pensaba anteriormente, incluidos varios scripts de shell para robar credenciales, implementar puertas traseras SSH, descargar cargas \u00fatiles adicionales y eliminar herramientas leg\u00edtimas como <a rel=\"nofollow noopener\" href=\"https:\/\/kubernetes.io\/docs\/reference\/kubectl\/\" target=\"_blank\">kubectl<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/rhinosecuritylabs.com\/aws\/pacu-open-source-aws-exploitation-framework\/\" target=\"_blank\">Pacu<\/a>y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/inguardians\/peirates\" target=\"_blank\">Piratas<\/a> para llevar a cabo el reconocimiento del entorno de la nube.<\/p>\n<p>Las cadenas de ataque se realizan a trav\u00e9s de la implementaci\u00f3n de im\u00e1genes de contenedores no autorizadas alojadas en Docker Hub, que est\u00e1n dise\u00f1adas para escanear Internet en busca de instancias mal configuradas e infectar a las v\u00edctimas reci\u00e9n identificadas con Tsunami y un script de gusano para cooptar m\u00e1s m\u00e1quinas en una red de bots.<\/p>\n<p>&#8220;Esta botnet es notablemente agresiva, prolifera r\u00e1pidamente en la nube y se dirige a una amplia gama de servicios y aplicaciones dentro del ciclo de vida de desarrollo de software (SDLC)&#8221;, dijeron los investigadores.  &#8220;Funciona a una velocidad impresionante, demostrando una notable capacidad de escaneo&#8221;.<\/p>\n<p>Tsunami utiliza Internet Relay Chat (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Internet_Relay_Chat\" target=\"_blank\">IRC<\/a>) para conectarse al servidor de comando y control (C2), que luego emite comandos a todos los hosts infectados bajo su control, lo que permite que el actor de amenazas mantenga el acceso de puerta trasera.<\/p>\n<p>Adem\u00e1s, la ejecuci\u00f3n del cryptomining se oculta mediante un rootkit llamado prochider para evitar que sea detectado cuando un <a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man1\/ps.1.html\" target=\"_blank\">comando pd<\/a> se ejecuta en el sistema pirateado para recuperar la lista de procesos activos.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">PR\u00d3XIMO SEMINARIO WEB<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">\u00bfPreocupado por las amenazas internas?  \u00a1Te tenemos cubierto!  \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">\u00danete hoy<\/a><\/section>\n<p>\u201cTeamTNT est\u00e1 buscando credenciales en m\u00faltiples entornos de nube, incluidos AWS, Azure y GCP\u201d, dijeron los investigadores.  Es la evidencia m\u00e1s reciente de que los actores de amenazas est\u00e1n mejorando su oficio.<\/p>\n<p>&#8220;No solo buscan credenciales generales, sino tambi\u00e9n aplicaciones espec\u00edficas como Grafana, Kubernetes, Docker Compose, Git access y NPM. Adem\u00e1s, buscan bases de datos y sistemas de almacenamiento como Postgres, AWS S3, Filezilla y SQLite. &#8220;<\/p>\n<p>El desarrollo se produce d\u00edas despu\u00e9s de que Sysdig revelara un nuevo ataque montado por SCARLETEEL para comprometer la infraestructura de AWS con el objetivo de realizar el robo de datos y distribuir mineros de criptomonedas en sistemas comprometidos.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689282535_405_La-red-de-bots-Silentbob-de-TeamTNT-infecta-196-hosts.jpg\" alt=\"Red de bots Silentbob\" border=\"0\" data-original-height=\"170\" data-original-width=\"728\" title=\"Red de bots Silentbob\"\/><\/div>\n<p>Si bien hubo v\u00ednculos circunstanciales que conectan a SCARLETEEL con TeamTNT, Aqua le dijo a The Hacker News que el equipo de intrusi\u00f3n est\u00e1 de hecho vinculado al actor de amenazas.<\/p>\n<p>&#8220;Esta es otra campa\u00f1a de TeamTNT&#8221;, dijo Morag, analista principal de datos del equipo de investigaci\u00f3n de Aqua Nautilus.  &#8220;La direcci\u00f3n IP de SCARLETEEL, <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/ip-address\/45.9.148.221\/relations\" target=\"_blank\">45.9.148[.]221<\/a>, se us\u00f3 hace unos d\u00edas en el servidor C2 del canal IRC de TeamTNT.  Los scripts son muy similares y los TTP son los mismos.  Parece que TeamTNT nunca dej\u00f3 de atacar.  Si alguna vez se retiraron, fue solo por un breve momento&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/teamtnts-silentbob-botnet-infecting-196.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de julio de 2023\ue804THNSeguridad en la nube \/ Criptomoneda Hasta 196 hosts han sido infectados como parte<\/p>\n","protected":false},"author":1,"featured_media":852904,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,43605,3372,4664,4662,159226,38527,4668,4667,4654,4658,4659,4653,4655,10650,4663,2770,4666,4665,172933,152847,158,4660],"class_list":["post-852903","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-bots","tag-campana","tag-como-hackear","tag-filtracion-de-datos","tag-hosts","tag-infecta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-programa-malicioso-ransomware","tag-red","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-silentbob","tag-teamtnt","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852903","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=852903"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/852903\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/852904"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=852903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=852903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=852903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}