TeamTNT снова в деле: как они используют облачный червь для кражи ваших данных и денег

TeamTNT SilentBob Aqua Security Tsunami JupyterLab Docker Kubernetes API CLI C2-сервер криптомайнер бэкдор червь облачная среда
TeamTNT снова в деле: как они используют облачный червь для кражи ваших данных и денег
TeamTNT SilentBob Aqua Security Tsunami JupyterLab Docker Kubernetes API CLI C2-сервер криптомайнер бэкдор червь облачная среда

Хакеры активно тестируют новый способ атаки на облака.

image

Исследователи безопасности Aqua Security предупредили , что группировка TeamTNT может готовить новую масштабную кампанию против облачных сред под названием «SilentBob». Такие подозрения появились после того, как специалисты обнаружили хакеров, нацеленных на неправильно сконфигурированные серверы.

Компания Aqua Security начала расследование после обнаружения атаки на одну из своих приманок. Впоследствии были обнаружены 4 образа вредоносных контейнеров. Однако, учитывая, что некоторые функции кода остались неиспользованными и, по-видимому, в настоящее время проводится определенное ручное тестирование, исследователи предположили, что кампания еще не запущена полностью.

По словам экспертов, инфраструктура находится на ранних стадиях тестирования и развёртывания и в основном соответствует агрессивному облачному червю, предназначенному для запуска на открытых API-интерфейсах JupyterLab и Docker для развертывания вредоносного ПО Tsunami, захвата учетных данных, захвата ресурсов и дальнейшего заражения червем.

TeamTNT — это группа киберпреступников, известная разрушительными атаками на облачные системы, особенно на среды Docker и Kubernetes. Группировка специализируется на криптомайнинге.

Хотя TeamTNT прекратила свою деятельность еще в конце 2021 года, Aqua Security связала новую кампанию с TeamTNT , основываясь на использовании вредоносного ПО Tsunami, функции dAPIpwn и C2-сервера, который отвечает на немецком языке.

Обнаруженная активность группы начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (Command Line Interface, CLI) для сканирования и выявления дополнительных жертв.

Такой процесс предназначен для распространения вредоносного ПО на большее количество серверов. Вторичная полезная нагрузка включает в себя криптомайнер и бэкдор, причем бэкдор использует вредоносное ПО Tsunami как инструмент атаки. Aqua Security опубликовала список рекомендаций, которые помогут организациям уменьшить угрозу.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Новости по теме

LightSpy вернулся: обновлённый iOS-шпион атакует смартфоны яблочных пользователей

От USB до WSF: Raspberry Robin эволюционировал, чтобы обхитрить любой антивирус

Срочно отключите iMessage: эксплойт за $2 млн дает контроль над iPhone без единого клика

22 500 брандмауэров под ударом: как хакеры выполняют рутинг в PAN-OS

Майнинг и вымогательство: OpenMetadata стала площадкой для инвестиций в недвижимость Китая

IT-профессионалы на мушке: бэкдор MadMxShell прячется в легитимных сетевых инструментах

Миллионы ПК под контролем PlugX: осиротевший зомби-червь все еще охотится за чужими секретами

CrushFTP в огне: 1400 серверов на грани компрометации

ToddyCat: хакеры плотно нацелились на правительства азиатских стран