{"id":830806,"date":"2023-07-14T19:16:44","date_gmt":"2023-07-14T21:16:44","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-campagne-cloud-credential-stealing-de-teamtnt-cible-desormais-azure-et-google-cloud\/"},"modified":"2023-07-14T19:16:47","modified_gmt":"2023-07-14T21:16:47","slug":"la-campagne-cloud-credential-stealing-de-teamtnt-cible-desormais-azure-et-google-cloud","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-campagne-cloud-credential-stealing-de-teamtnt-cible-desormais-azure-et-google-cloud\/","title":{"rendered":"La campagne Cloud Credential Stealing de TeamTNT cible d\u00e9sormais Azure et Google Cloud"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Cybermenace \/ S\u00e9curit\u00e9 cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Un acteur malveillant a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne de vol d&#8217;informations d&#8217;identification dans le cloud en juin 2023, ax\u00e9e sur les services Azure et Google Cloud Platform (GCP), marquant l&#8217;expansion de l&#8217;adversaire dans le ciblage au-del\u00e0 d&#8217;Amazon Web Services (AWS).<\/p>\n<p>Les d\u00e9couvertes proviennent de <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/cloudy-with-a-chance-of-credentials-aws-targeting-cred-stealer-expands-to-azure-gcp\/\" target=\"_blank\">SentinelleUn<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/permiso.io\/blog\/s\/agile-approach-to-mass-cloud-cred-harvesting-and-cryptomining\/\" target=\"_blank\">Permis<\/a>qui a d\u00e9clar\u00e9 que &#8220;les campagnes partagent des similitudes avec les outils attribu\u00e9s \u00e0 la c\u00e9l\u00e8bre \u00e9quipe de cryptojacking TeamTNT&#8221;, bien qu&#8217;il ait soulign\u00e9 que &#8220;l&#8217;attribution reste difficile avec les outils bas\u00e9s sur des scripts&#8221;.<\/p>\n<p>Ils chevauchent \u00e9galement une campagne TeamTNT en cours divulgu\u00e9e par Aqua appel\u00e9e Silentbob qui exploite des services cloud mal configur\u00e9s pour \u00e9liminer les logiciels malveillants dans le cadre de ce qui est consid\u00e9r\u00e9 comme un effort de test, tout en reliant les attaques SCARLETEEL \u00e0 l&#8217;acteur de la menace, citant des points communs d&#8217;infrastructure.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>&#8220;TeamTNT analyse les informations d&#8217;identification dans plusieurs environnements cloud, y compris AWS, Azure et GCP&#8221;, a not\u00e9 Aqua.<\/p>\n<p>Les attaques, qui ciblent les instances Docker accessibles au public pour d\u00e9ployer un module de propagation semblable \u00e0 un ver, sont la continuation d&#8217;un ensemble d&#8217;intrusions qui <a rel=\"nofollow noopener\" href=\"https:\/\/permiso.io\/blog\/s\/christmas-cloud-cred-harvesting-campaign\/\" target=\"_blank\">pr\u00e9c\u00e9demment cibl\u00e9<\/a> Notebooks Jupyter en d\u00e9cembre 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689369404_167_La-campagne-Cloud-Credential-Stealing-de-TeamTNT-cible-desormais-Azure.jpg\" alt=\"Azure et Google Cloud\" border=\"0\" data-original-height=\"600\" data-original-width=\"728\" title=\"Azure et Google Cloud\"\/><\/div>\n<p>Jusqu&#8217;\u00e0 huit versions incr\u00e9mentielles du script de collecte d&#8217;informations d&#8217;identification ont \u00e9t\u00e9 d\u00e9couvertes entre le 15 juin 2023 et le 11 juillet 2023, indiquant une campagne en \u00e9volution active.<\/p>\n<p>Les nouvelles versions du logiciel malveillant sont con\u00e7ues pour recueillir les informations d&#8217;identification d&#8217;AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL et SMB.  Les informations d&#8217;identification collect\u00e9es sont ensuite exfiltr\u00e9es vers un serveur distant sous le contr\u00f4le de l&#8217;auteur de la menace.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>Bouclier contre les menaces internes\u00a0: ma\u00eetriser la gestion de la posture de s\u00e9curit\u00e9 SaaS<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Inquiet des menaces internes ?  Nous avons ce qu&#8217;il vous faut!  Rejoignez ce webinaire pour explorer les strat\u00e9gies pratiques et les secrets de la s\u00e9curit\u00e9 proactive avec la gestion de la posture de s\u00e9curit\u00e9 SaaS.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/I26t1VFD\" target=\"_blank\" class=\"wn-button\">Joignez aujourd&#8217;hui<\/a><\/section>\n<p>SentinelOne a d\u00e9clar\u00e9 que la logique de collecte des informations d&#8217;identification et les fichiers cibl\u00e9s pr\u00e9sentent des similitudes avec un <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/teamtnt-kubelet-credentials\/\" target=\"_blank\">Campagne de ciblage Kubelet<\/a> entrepris par TeamTNT en septembre 2022. <\/p>\n<p>Parall\u00e8lement au malware de script shell, l&#8217;acteur de la menace a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de distribuer un binaire ELF bas\u00e9 sur Golang qui agit comme un scanner pour propager le malware aux cibles vuln\u00e9rables.  Le binaire supprime en outre un utilitaire d&#8217;analyse de r\u00e9seau Golang appel\u00e9 Zgrab.<\/p>\n<p>&#8220;Cette campagne d\u00e9montre l&#8217;\u00e9volution d&#8217;un acteur chevronn\u00e9 du cloud familiaris\u00e9 avec de nombreuses technologies&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Alex Delamotte, Ian Ahl et Daniel Bohannon.  &#8220;L&#8217;attention m\u00e9ticuleuse port\u00e9e aux d\u00e9tails indique que l&#8217;acteur a clairement v\u00e9cu de nombreux essais et erreurs.&#8221;<\/p>\n<p>&#8220;Cet acteur ajuste et am\u00e9liore activement ses outils. Sur la base des ajustements observ\u00e9s au cours des derni\u00e8res semaines, l&#8217;acteur se pr\u00e9pare probablement pour des campagnes \u00e0 plus grande \u00e9chelle.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/teamtnts-cloud-credential-stealing.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 juil. 2023\ue804THNCybermenace \/ S\u00e9curit\u00e9 cloud Un acteur malveillant a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne de vol d&#8217;informations d&#8217;identification dans le cloud en juin 2023, ax\u00e9e sur les services Azure et Google Cloud Platform (GCP), marquant l&#8217;expansion de l&#8217;adversaire dans le ciblage au-del\u00e0 d&#8217;Amazon Web Services (AWS). Les d\u00e9couvertes proviennent de SentinelleUn et Permisqui a [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":830807,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[21082,2930,7087,22780,4168,173903,4158,4165,4161,4300,7755,4157,4159,4171,4170,4167,4160,4163,4162,4172,4169,173904,152341,4166,4164],"class_list":["post-830806","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-azure","tag-campagne","tag-cible","tag-cloud","tag-comment-pirater","tag-credential","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-desormais","tag-google","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-stealing","tag-teamtnt","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/830806","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=830806"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/830806\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/830807"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=830806"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=830806"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=830806"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}