Pas moins de 196 hôtes ont été infectés dans le cadre d’une campagne cloud agressive montée par le groupe TeamTNT appelé Silentbob.
« Le botnet géré par TeamTNT a jeté son dévolu sur les environnements Docker et Kubernetes, les serveurs Redis, les bases de données Postgres, les clusters Hadoop, les serveurs Tomcat et Nginx, les applications Weave Scope, SSH et Jupyter », ont déclaré les chercheurs en sécurité Aqua Ofek Itach et Assaf Morag. a dit dans un rapport partagé avec The Hacker News.
« Cette fois, l’accent semble être mis davantage sur l’infection des systèmes et le test du botnet, plutôt que sur le déploiement de cryptomineurs à des fins lucratives. »
Le développement arrive une semaine après que la société de sécurité cloud a détaillé un ensemble d’intrusions lié au groupe TeamTNT qui cible les API JupyterLab et Docker exposées pour déployer le malware Tsunami et détourner les ressources système pour exécuter un mineur de crypto-monnaie.
Les dernières découvertes suggèrent une campagne plus large et l’utilisation d’une infrastructure d’attaque plus importante qu’on ne le pensait auparavant, y compris divers scripts shell pour voler des informations d’identification, déployer des portes dérobées SSH, télécharger des charges utiles supplémentaires et supprimer des outils légitimes tels que kubectl, Paçuet Pirates effectuer une reconnaissance de l’environnement cloud.
Les chaînes d’attaque sont réalisées grâce au déploiement d’images de conteneurs escrocs hébergées sur Docker Hub, qui sont conçues pour analyser Internet à la recherche d’instances mal configurées et infecter les victimes nouvellement identifiées avec Tsunami et un script de ver pour coopter plus de machines dans un botnet.
« Ce botnet est particulièrement agressif, prolifère rapidement dans le cloud et cible un large éventail de services et d’applications dans le cycle de vie du développement logiciel (SDLC) », ont déclaré les chercheurs. « Il fonctionne à une vitesse impressionnante, démontrant une capacité de numérisation remarquable. »
Tsunami utilise le chat relais Internet (CRI) pour se connecter au serveur de commande et de contrôle (C2), qui envoie ensuite des commandes à tous les hôtes infectés sous son contrôle, permettant ainsi à l’auteur de la menace de maintenir un accès par porte dérobée.
De plus, l’exécution du cryptominage est masquée à l’aide d’un rootkit appelé prochider pour l’empêcher d’être détecté lorsqu’un commande ps est exécuté sur le système piraté pour récupérer la liste des processus actifs.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
« TeamTNT analyse les informations d’identification dans plusieurs environnements cloud, y compris AWS, Azure et GCP », ont déclaré les chercheurs. C’est la dernière preuve que les acteurs de la menace améliorent leur savoir-faire.
« Ils ne recherchent pas seulement des informations d’identification générales, mais également des applications spécifiques telles que Grafana, Kubernetes, Docker Compose, Git access et NPM. De plus, ils recherchent des bases de données et des systèmes de stockage tels que Postgres, AWS S3, Filezilla et SQLite. «
Le développement intervient quelques jours après que Sysdig a divulgué une nouvelle attaque montée par SCARLETEEL pour compromettre l’infrastructure AWS dans le but de mener des vols de données et de distribuer des mineurs de crypto-monnaie sur des systèmes compromis.
Bien qu’il y ait des liens circonstanciels reliant SCARLETEEL à TeamTNT, Aqua a déclaré à The Hacker News que l’ensemble d’intrusion est en fait lié à l’acteur de la menace.
« Il s’agit d’une autre campagne de TeamTNT », a déclaré Morag, analyste principal des données au sein de l’équipe de recherche d’Aqua Nautilus. « L’adresse IP SCARLETEEL, 45.9.148[.]221, a été utilisé il y a quelques jours sur le serveur C2 du canal IRC de TeamTNT. Les scripts sont très similaires et les TTP sont les mêmes. Il semble que TeamTNT n’ait jamais cessé d’attaquer. S’ils ont un jour pris leur retraite, ce n’est que pour un bref instant. »