.
Uma equipe criminosa com histórico de implantação de malware para coletar credenciais de contas do Amazon Web Services pode expandir sua atenção para organizações que usam o Microsoft Azure e o Google Cloud Platform.
Pesquisadores da SentinelOne, Permiso Security e Aqua Security dizem que uma campanha de roubo de credenciais, que começou em junho, inclui as marcas do notório TeamTNT, embora a atribuição completa seja difícil.
Dito isso, dada a quantidade de trabalho que os criminosos fizeram para melhorar suas técnicas e a adição de contas do Azure e do Google Cloud à lista de alvos, o grupo parece pronto para aumentar seus ataques, de acordo com Alex Delamotte, pesquisador do SentinelOne’s SentinelLabs unidade.
Quem quer que sejam os criminosos, parece que eles extraem credenciais de infraestrutura de nuvem – como chaves AWS – dos notebooks de programação Jupyter das vítimas; o acesso a esses notebooks pode exigir a exploração de aplicativos da Web mal protegidos, ou os notebooks podem ter sido acidentalmente deixados abertos ao público, ao que parece. O objetivo final dos criminosos é obter credenciais, usá-las para copiar malware nos sistemas baseados em nuvem de outra pessoa e executar esse malware.
Depois que o código da equipe está sendo executado nos recursos da vítima, os invasores podem executar scripts nesses sistemas remotos que procuram e coletam mais credenciais de acesso, extraem criptomoedas, abrem um backdoor e potencialmente desviam informações ou interferem nas operações. Os criminosos costumavam visar principalmente os usuários da AWS e agora parecem estar procurando maneiras de entrar nas contas do Azure e do Google Cloud.
“Embora a AWS esteja há muito tempo na mira de muitos atores focados na nuvem, a expansão para as credenciais do Azure e do GCP indica que existem outros concorrentes importantes que possuem dados valiosos”, escreveu Delamotte em um relatório essa semana.
“Acreditamos que este ator está ajustando e melhorando ativamente suas ferramentas. Com base nos ajustes observados nas últimas semanas, o ator provavelmente está se preparando para campanhas de maior escala.”
Permiso pesquisador Abian Morina considerado na quarta-feira, uma campanha multicloud já pode estar em andamento a partir desta semana.
Não está totalmente claro exatamente como os malfeitores invadem os recursos de nuvem das pessoas: verifique os avisos vinculados para obter detalhes técnicos e indicadores de comprometimento e use as informações fornecidas para detectar e impedir qualquer intrusão identificável, dizemos.
Credenciais de nuvem são um alvo popular
De acordo com um escrever No ano passado, do Elastic Security Labs, 33% dos ataques cibernéticos na nuvem usam credenciais roubadas, algo pelo qual a TeamTNT é conhecida. o grupo tem por aí desde 2019, embora há dois anos tenha anunciado que estava desistindo. No entanto, a Trend Micro disse que a equipe, conhecida por visar ambientes de nuvem e contêineres, voltou aos negócios no final do ano passado.
Permissão em dezembro de 2022 documentado como a TeamTNT estava vasculhando os serviços do Jupyter Notebook principalmente em busca de credenciais da AWS. Os criminosos também parecem ter começado a segmentar implantações vulneráveis do Docker e atualizaram suas ferramentas de invasão.
Essas atualizações trouxeram suporte para a obtenção de credenciais do Azure e do Google Cloud, tornaram os scripts mais modulares para alcançar ataques mais complexos, melhoraram a coleta de credenciais e trouxeram a ferramenta de linha de comando curl para exfiltrar dados.
Além disso, o grupo anteriormente hospedava suas atividades e arquivos de comando e controle (C2) em um diretório de acesso aberto em um único domínio. Agora, o diretório do C2 requer um nome de usuário e uma senha codificados para acesso, tornando mais difícil inspecioná-lo e interrompê-lo. Essa infraestrutura, que antes usava um endereço IP baseado na Holanda, agora é executada em vários subdomínios.
Os pesquisadores também encontraram um binário ELF construído a partir do código-fonte Golang; esse executável é usado para espalhar o malware para outros alvos vulneráveis, aparentemente como um worm. Os malfeitores escondem esse scanner de sistema como um objeto base64 embutido no binário para torná-lo mais difícil de detectar.
Algo maléfico vem nesta direção
A campanha mais recente “demonstra a evolução de um ator de nuvem experiente com familiaridade com muitas tecnologias”, escreveu Delamotte.
“A atenção meticulosa aos detalhes indica que o ator claramente experimentou muitas tentativas e erros. O ator também melhorou a formatação dos dados da ferramenta para permitir uma atividade mais autônoma, o que demonstra um certo nível de maturidade e habilidade.”
O trabalho SentinelLabs e Permiso ecoa o que a Aqua descobriu no início deste mês em conexão com uma “campanha potencialmente massiva contra ambientes nativos da nuvem” que os pesquisadores Ofek Itach e Assaf Morag colocaram aos pés do TeamTNT ou de um grupo usando as mesmas técnicas.
A investigação começou depois que um ataque foi detectado contra um honeypot Jupyter executado pela Aqua e levou a um exame de uma imagem de contêiner e conta do Docker Hub. escreveu. Eles descreveram a campanha Silentbob como um “worm de nuvem agressivo, projetado para implantar em APIs JupyterLab e Docker expostas, a fim de implantar malware Tsunami, sequestro de credenciais de nuvem, sequestro de recursos e infestação adicional do worm”.
Como o SentinelLabs, os pesquisadores do Aqua disseram que parecia que o que eles estavam vendo era um teste para uma operação maior.
“Dado que algumas funções no código permanecem sem uso e os padrões de ataque vinculados sugerem testes manuais, teorizamos que o invasor está no processo de otimização de seu algoritmo”, escreveram eles no início de julho.
“Parece que o TeamTNT ou um imitador do TeamTNT está preparando uma campanha. Tratamos isso como um alerta precoce e esperamos que seja uma prevenção para a campanha.”
As empresas recomendadas pela Aqua e SentinelLabs se protegem contra esses ataques tomando medidas como não implantar o software Jupyter sem autenticação, configurar e corrigir aplicativos da Web adequadamente para minimizar a exploração, restringir o acesso externo ao Docker e usar o princípio de privilégio mínimo, limitando as permissões de containers. ®
.
