- Регистрация
- 25.06.23
- Сообщения
- 84
Исследователи безопасности Aqua Security предупредили , что группировка TeamTNT может готовить новую масштабную кампанию против облачных сред под названием «SilentBob». Такие подозрения появились после того, как специалисты обнаружили хакеров, нацеленных на неправильно сконфигурированные серверы.
Компания Aqua Security начала расследование после обнаружения атаки на одну из своих приманок. Впоследствии были обнаружены 4 образа вредоносных контейнеров. Однако, учитывая, что некоторые функции кода остались неиспользованными и, по-видимому, в настоящее время проводится определенное ручное тестирование, исследователи предположили, что кампания еще не запущена полностью.
По словам экспертов, инфраструктура находится на ранних стадиях тестирования и развёртывания и в основном соответствует агрессивному облачному червю, предназначенному для запуска на открытых API-интерфейсах JupyterLab и Docker для развертывания вредоносного ПО Tsunami, захвата учетных данных, захвата ресурсов и дальнейшего заражения червем.
TeamTNT – это группа киберпреступников, известная разрушительными атаками на облачные системы, особенно на среды Docker и Kubernetes. Группировка специализируется на криптомайнинге.
Хотя TeamTNT прекратила свою деятельность еще в конце 2021 года, Aqua Security связала новую кампанию с TeamTNT , основываясь на использовании вредоносного ПО Tsunami, функции dAPIpwn и C2-сервера, который отвечает на немецком языке.
Обнаруженная активность группы начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (Command Line Interface, CLI) для сканирования и выявления дополнительных жертв.
Такой процесс предназначен для распространения вредоносного ПО на большее количество серверов. Вторичная полезная нагрузка включает в себя криптомайнер и бэкдор, причем бэкдор использует вредоносное ПО Tsunami как инструмент атаки. Aqua Security опубликовала список рекомендаций, которые помогут организациям уменьшить угрозу.
Источник: securitylab
Компания Aqua Security начала расследование после обнаружения атаки на одну из своих приманок. Впоследствии были обнаружены 4 образа вредоносных контейнеров. Однако, учитывая, что некоторые функции кода остались неиспользованными и, по-видимому, в настоящее время проводится определенное ручное тестирование, исследователи предположили, что кампания еще не запущена полностью.
По словам экспертов, инфраструктура находится на ранних стадиях тестирования и развёртывания и в основном соответствует агрессивному облачному червю, предназначенному для запуска на открытых API-интерфейсах JupyterLab и Docker для развертывания вредоносного ПО Tsunami, захвата учетных данных, захвата ресурсов и дальнейшего заражения червем.
TeamTNT – это группа киберпреступников, известная разрушительными атаками на облачные системы, особенно на среды Docker и Kubernetes. Группировка специализируется на криптомайнинге.
Хотя TeamTNT прекратила свою деятельность еще в конце 2021 года, Aqua Security связала новую кампанию с TeamTNT , основываясь на использовании вредоносного ПО Tsunami, функции dAPIpwn и C2-сервера, который отвечает на немецком языке.
Обнаруженная активность группы начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (Command Line Interface, CLI) для сканирования и выявления дополнительных жертв.
Такой процесс предназначен для распространения вредоносного ПО на большее количество серверов. Вторичная полезная нагрузка включает в себя криптомайнер и бэкдор, причем бэкдор использует вредоносное ПО Tsunami как инструмент атаки. Aqua Security опубликовала список рекомендаций, которые помогут организациям уменьшить угрозу.
Источник: securitylab
