Tội phạm mạng đang sử dụng các công cụ giám sát đám mây hợp pháp làm cửa hậu

Theo một nghiên cứu mới, một nhóm tội phạm mạng trước đây đã tấn công môi trường đám mây Docker và Kubernetes đã phát triển để sử dụng lại các công cụ giám sát đám mây chính hãng làm cửa hậu để thực hiện các cuộc tấn công độc hại, theo nghiên cứu mới.

“Theo hiểu biết của chúng tôi, đây là lần đầu tiên những kẻ tấn công bị bắt bằng cách sử dụng phần mềm hợp pháp của bên thứ ba để nhắm mục tiêu vào cơ sở hạ tầng đám mây”, công ty an ninh mạng Intezer của Israel cho biết. Thứ ba phân tích.

Sử dụng phần mềm có tên Phạm vi dệt, được sử dụng làm công cụ giám sát và trực quan hóa cho các dịch vụ Docker và Kubernetes, tác nhân đe dọa TeamTNT không chỉ ánh xạ môi trường đám mây của nạn nhân mà còn thực hiện các lệnh hệ thống mà không cần phải triển khai mã độc hại trên máy chủ đích một cách rõ ràng.

cybersecurity

TeamTNT đã hoạt động ít nhất kể từ cuối tháng tư năm nay, hướng các cuộc tấn công của họ vào các cổng Docker bị định cấu hình sai để cài đặt phần mềm độc hại khai thác tiền điện tử và một bot từ chối dịch vụ phân tán (DDoS).

Sau đó tháng trước, băng nhóm khai thác tiền điện tử đã cập nhật phương thức hoạt động của họ để lọc thông tin đăng nhập của Amazon Web Services (AWS) bằng cách quét các hệ thống Docker và Kubernetes bị nhiễm để tìm thông tin xác thực nhạy cảm được lưu trữ trong Thông tin đăng nhập và cấu hình AWS các tập tin.

Trong khi phương pháp giành được chỗ đứng ban đầu của họ không thay đổi, những gì đã được tinh chỉnh là phương thức giành quyền kiểm soát đối với chính cơ sở hạ tầng của máy chủ bị nhiễm.

Tấn công DDoS

Khi những kẻ tấn công tìm thấy đường vào, chúng thiết lập một vùng chứa đặc quyền mới với một hình ảnh Ubuntu sạch, sử dụng nó để tải xuống và thực thi các trình giải mã, giành quyền truy cập root vào máy chủ bằng cách tạo một người dùng có đặc quyền cục bộ có tên là ‘hilde’ để kết nối với máy chủ. thông qua SSH và cuối cùng cài đặt Weave Scope.

Nicole Fishbein của Intezer cho biết: “Bằng cách cài đặt một công cụ hợp pháp như Weave Scope, những kẻ tấn công sẽ gặt hái được tất cả những lợi ích như thể họ đã cài đặt một cửa hậu trên máy chủ, với ít nỗ lực hơn và không cần sử dụng phần mềm độc hại.

Mặc dù mục tiêu cuối cùng của TeamTNT dường như là tạo ra tiền mặt thông qua khai thác tiền điện tử, nhưng nhiều nhóm đã sử dụng triển khai sâu cryptojacking thành công trong việc xâm phạm hệ thống doanh nghiệp một phần là do các điểm cuối API bị lộ, khiến chúng trở thành mục tiêu hấp dẫn của tội phạm mạng.

Chúng tôi khuyến nghị rằng các điểm cuối API Docker bị hạn chế quyền truy cập để ngăn đối thủ chiếm quyền kiểm soát các máy chủ.

Hãng an ninh mạng cho biết: “Weave Scope sử dụng cổng mặc định 4040 để làm cho bảng điều khiển có thể truy cập được và bất kỳ ai có quyền truy cập vào mạng đều có thể xem bảng điều khiển. Tương tự như cổng API Docker, cổng này nên bị đóng hoặc hạn chế bởi tường lửa”.

.

Content Protection by DMCA.com
GenVerge | Trang thông tin dành cho tín đồ công nghệ Việt Nam
Logo
Đăng ký
Liên hệ Admin để kích hoạt tài khoản Cộng Tác Viên
Quên mật khẩu