El grupo de ciberdelincuencia TeamTNT, conocido por sus ataques a los entornos de nube de Docker y Kubernetes, ha cambiado a una nueva táctica, que le permite hacerse de las instancias de Docker y Kubernetes sin plantar código malicioso en los servidores.
Los piratas informáticos ahora están utilizando una herramienta legítima llamada Weave Scope, que le brinda al usuario acceso completo a su entorno de nube y está integrado con Docker, Kubernetes, el sistema operativo distribuido en la nube (DC / OS) y AWS Elastic Compute Cloud (ECS) en para mapear el entorno de nube de su víctima y ejecutar comandos del sistema, según una nueva investigación de Intezer.
La firma dijo que este es un primer caso conocido en el que los atacantes utilizan software legítimo de terceros como una puerta trasera que les da acceso completo a entornos de nube específicos.
La etapa inicial del ataque involucra a los piratas informáticos que usan un puerto API de Docker expuesto para crear un nuevo contenedor privilegiado con una imagen limpia de Ubuntu en un servidor. Este contenedor está configurado para montar el sistema de archivos del contenedor en el sistema de archivos del servidor víctima, lo que permite a los atacantes acceder a todos los archivos del servidor. Luego, los piratas informáticos ejecutan comandos para descargar y ejecutar varios criptomineros. Luego, los atacantes intentan obtener acceso de root al servidor configurando un usuario privilegiado local llamado 'hilde' en el servidor host y usarlo para conectarse nuevamente a través de SSH.
En la siguiente etapa del ataque, el grupo instala la utilidad Weave Scope en el servidor, lo que les permite conectarse al tablero de Weave Scope a través de HTTP en el puerto 4040 y obtener visibilidad y control completos sobre la infraestructura de la víctima.
“Desde el tablero, los atacantes pueden ver un mapa visual del entorno de nube de tiempo de ejecución de Docker y dar comandos de shell sin necesidad de implementar ningún componente de puerta trasera malicioso. Este escenario no solo es increíblemente raro, hasta donde sabemos, esta es la primera vez que un atacante descarga software legítimo para usarlo como herramienta de administración en el sistema operativo Linux ”, dijeron los investigadores.
Para protegerse de tales ataques, se recomienda a los usuarios que cierren los puertos API de Docker expuestos y bloqueen las conexiones entrantes al puerto 4040.
