{"id":829049,"date":"2023-07-13T17:40:39","date_gmt":"2023-07-13T19:40:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-botnet-silentbob-de-teamtnt-infecte-196-hotes-lors-dune-campagne-dattaque-dans-le-cloud\/"},"modified":"2023-07-13T17:40:42","modified_gmt":"2023-07-13T19:40:42","slug":"le-botnet-silentbob-de-teamtnt-infecte-196-hotes-lors-dune-campagne-dattaque-dans-le-cloud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-botnet-silentbob-de-teamtnt-infecte-196-hotes-lors-dune-campagne-dattaque-dans-le-cloud\/","title":{"rendered":"Le botnet Silentbob de TeamTNT infecte 196 h\u00f4tes lors d&#8217;une campagne d&#8217;attaque dans le cloud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 cloud \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Pas moins de 196 h\u00f4tes ont \u00e9t\u00e9 infect\u00e9s dans le cadre d&#8217;une campagne cloud agressive mont\u00e9e par le groupe TeamTNT appel\u00e9 <strong>Silentbob<\/strong>.<\/p>\n<p>&#8220;Le botnet g\u00e9r\u00e9 par TeamTNT a jet\u00e9 son d\u00e9volu sur les environnements Docker et Kubernetes, les serveurs Redis, les bases de donn\u00e9es Postgres, les clusters Hadoop, les serveurs Tomcat et Nginx, les applications Weave Scope, SSH et Jupyter&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Aqua Ofek Itach et Assaf Morag. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/teamtnt-reemerged-with-new-aggressive-cloud-campaign\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>&#8220;Cette fois, l&#8217;accent semble \u00eatre mis davantage sur l&#8217;infection des syst\u00e8mes et le test du botnet, plut\u00f4t que sur le d\u00e9ploiement de cryptomineurs \u00e0 des fins lucratives.&#8221;<\/p>\n<p>Le d\u00e9veloppement arrive une semaine apr\u00e8s que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud a d\u00e9taill\u00e9 un ensemble d&#8217;intrusions li\u00e9 au groupe TeamTNT qui cible les API JupyterLab et Docker expos\u00e9es pour d\u00e9ployer le malware Tsunami et d\u00e9tourner les ressources syst\u00e8me pour ex\u00e9cuter un mineur de crypto-monnaie.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Les derni\u00e8res d\u00e9couvertes sugg\u00e8rent une campagne plus large et l&#8217;utilisation d&#8217;une infrastructure d&#8217;attaque plus importante qu&#8217;on ne le pensait auparavant, y compris divers scripts shell pour voler des informations d&#8217;identification, d\u00e9ployer des portes d\u00e9rob\u00e9es SSH, t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires et supprimer des outils l\u00e9gitimes tels que <a rel=\"nofollow noopener\" href=\"https:\/\/kubernetes.io\/docs\/reference\/kubectl\/\" target=\"_blank\">kubectl<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/rhinosecuritylabs.com\/aws\/pacu-open-source-aws-exploitation-framework\/\" target=\"_blank\">Pa\u00e7u<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/inguardians\/peirates\" target=\"_blank\">Pirates<\/a> effectuer une reconnaissance de l&#8217;environnement cloud.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque sont r\u00e9alis\u00e9es gr\u00e2ce au d\u00e9ploiement d&#8217;images de conteneurs escrocs h\u00e9berg\u00e9es sur Docker Hub, qui sont con\u00e7ues pour analyser Internet \u00e0 la recherche d&#8217;instances mal configur\u00e9es et infecter les victimes nouvellement identifi\u00e9es avec Tsunami et un script de ver pour coopter plus de machines dans un botnet.<\/p>\n<p>&#8220;Ce botnet est particuli\u00e8rement agressif, prolif\u00e8re rapidement dans le cloud et cible un large \u00e9ventail de services et d&#8217;applications dans le cycle de vie du d\u00e9veloppement logiciel (SDLC)&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Il fonctionne \u00e0 une vitesse impressionnante, d\u00e9montrant une capacit\u00e9 de num\u00e9risation remarquable.&#8221;<\/p>\n<p>Tsunami utilise le chat relais Internet (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Internet_Relay_Chat\" target=\"_blank\">CRI<\/a>) pour se connecter au serveur de commande et de contr\u00f4le (C2), qui envoie ensuite des commandes \u00e0 tous les h\u00f4tes infect\u00e9s sous son contr\u00f4le, permettant ainsi \u00e0 l&#8217;auteur de la menace de maintenir un acc\u00e8s par porte d\u00e9rob\u00e9e.<\/p>\n<p>De plus, l&#8217;ex\u00e9cution du cryptominage est masqu\u00e9e \u00e0 l&#8217;aide d&#8217;un rootkit appel\u00e9 prochider pour l&#8217;emp\u00eacher d&#8217;\u00eatre d\u00e9tect\u00e9 lorsqu&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man1\/ps.1.html\" target=\"_blank\">commande ps<\/a> est ex\u00e9cut\u00e9 sur le syst\u00e8me pirat\u00e9 pour r\u00e9cup\u00e9rer la liste des processus actifs.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>&#8220;TeamTNT analyse les informations d&#8217;identification dans plusieurs environnements cloud, y compris AWS, Azure et GCP&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  C&#8217;est la derni\u00e8re preuve que les acteurs de la menace am\u00e9liorent leur savoir-faire.<\/p>\n<p>&#8220;Ils ne recherchent pas seulement des informations d&#8217;identification g\u00e9n\u00e9rales, mais \u00e9galement des applications sp\u00e9cifiques telles que Grafana, Kubernetes, Docker Compose, Git access et NPM. De plus, ils recherchent des bases de donn\u00e9es et des syst\u00e8mes de stockage tels que Postgres, AWS S3, Filezilla et SQLite. &#8220;<\/p>\n<p>Le d\u00e9veloppement intervient quelques jours apr\u00e8s que Sysdig a divulgu\u00e9 une nouvelle attaque mont\u00e9e par SCARLETEEL pour compromettre l&#8217;infrastructure AWS dans le but de mener des vols de donn\u00e9es et de distribuer des mineurs de crypto-monnaie sur des syst\u00e8mes compromis.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689277239_247_Le-botnet-Silentbob-de-TeamTNT-infecte-196-hotes-lors-dune.jpg\" alt=\"Botnet silencieux\" border=\"0\" data-original-height=\"170\" data-original-width=\"728\" title=\"Botnet silencieux\"\/><\/div>\n<p>Bien qu&#8217;il y ait des liens circonstanciels reliant SCARLETEEL \u00e0 TeamTNT, Aqua a d\u00e9clar\u00e9 \u00e0 The Hacker News que l&#8217;ensemble d&#8217;intrusion est en fait li\u00e9 \u00e0 l&#8217;acteur de la menace.<\/p>\n<p>&#8220;Il s&#8217;agit d&#8217;une autre campagne de TeamTNT&#8221;, a d\u00e9clar\u00e9 Morag, analyste principal des donn\u00e9es au sein de l&#8217;\u00e9quipe de recherche d&#8217;Aqua Nautilus.  &#8220;L&#8217;adresse IP SCARLETEEL, <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/ip-address\/45.9.148.221\/relations\" target=\"_blank\">45.9.148[.]221<\/a>, a \u00e9t\u00e9 utilis\u00e9 il y a quelques jours sur le serveur C2 du canal IRC de TeamTNT.  Les scripts sont tr\u00e8s similaires et les TTP sont les m\u00eames.  Il semble que TeamTNT n&#8217;ait jamais cess\u00e9 d&#8217;attaquer.  S&#8217;ils ont un jour pris leur retraite, ce n&#8217;est que pour un bref instant.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/teamtnts-silentbob-botnet-infecting-196.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juil. 2023\ue804THNS\u00e9curit\u00e9 cloud \/ Crypto-monnaie Pas moins de 196 h\u00f4tes ont \u00e9t\u00e9 infect\u00e9s dans le cadre d&#8217;une campagne cloud agressive mont\u00e9e par le groupe TeamTNT appel\u00e9 Silentbob. &#8220;Le botnet g\u00e9r\u00e9 par TeamTNT a jet\u00e9 son d\u00e9volu sur les environnements Docker et Kubernetes, les serveurs Redis, les bases de donn\u00e9es Postgres, les clusters Hadoop, les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":829050,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5464,2930,22780,4168,4158,4165,4161,429,14392,1326,29973,16220,4157,4159,4171,4170,4167,320,4160,4163,4162,4172,4169,172587,152341,4166,4164],"class_list":["post-829049","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-botnet","tag-campagne","tag-cloud","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-dattaque","tag-dune","tag-hotes","tag-infecte","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-lors","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-silentbob","tag-teamtnt","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/829049","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=829049"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/829049\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/829050"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=829049"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=829049"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=829049"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}