%2021.25.19.png)
Hasta ahora, se han infectado hasta 196 hosts como parte de una agresiva campaña en la nube llevada a cabo por el grupo TeamTNT, llamada Silentbob.
"El botnet dirigido por TeamTNT ha puesto su atención en entornos Docker y Kubernetes, servidores Redis, bases de datos Postgres, clústeres Hadoop, servidores Tomcat y Nginx, Weave Scope, SSH y aplicaciones Jupyter", dijeron los investigadores de seguridad de Aqua, Ofek Itach y Assaf Morag, en un informe compartido con The Hacker News.
"En esta ocasión, el enfoque parece estar más en infectar sistemas y probar el botnet, en lugar de desplegar criptomineros con fines de lucro".
Este desarrollo llega una semana después de que la empresa de seguridad en la nube detallara un conjunto de intrusiones vinculadas al grupo TeamTNT, que se dirige a las APIs expuestas de JupyterLab y Docker para desplegar el malware Tsunami y secuestrar los recursos del sistema para ejecutar un minero de criptomonedas.
Los últimos hallazgos sugieren una campaña más amplia y el uso de una infraestructura de ataque más grande de lo que se pensaba anteriormente, que incluye varios scripts de shell para robar credenciales, desplegar puertas traseras SSH, descargar cargas adicionales y dejar herramientas legítimas como kubectl, Pacu y Peirates para realizar reconocimiento del entorno en la nube.
Las cadenas de ataque se realizan mediante el despliegue de imágenes de contenedores falsos alojados en Docker Hub, diseñados para escanear Internet en busca de instancias mal configuradas e infectar a las víctimas recién identificadas con Tsunami y un script de gusano para cooptar más máquinas en un botnet.
"Este botnet es notablemente agresivo, proliferando rápidamente en la nube y atacando una amplia variedad de servicios y aplicaciones dentro del Ciclo de Vida del Desarrollo de Software (SDLC)", dijeron los investigadores. "Opera a una velocidad impresionante, demostrando una capacidad de escaneo notable".
Tsunami utiliza el protocolo de Internet Relay Chat (IRC) para conectarse al servidor de comando y control (C2), que luego emite comandos a todos los hosts infectados bajo su control, lo que permite al actor de amenazas mantener un acceso de puerta trasera.
Además, la ejecución de la criptominería está oculta mediante un rootkit llamado prochider, para evitar que sea detectada cuando se ejecuta el comando "ps" en el sistema comprometido para obtener la lista de procesos activos.
"TeamTNT está buscando credenciales en múltiples entornos en la nube, incluidos AWS, Azure y GCP", dijeron los investigadores. Es la evidencia más reciente de que los actores de amenazas están mejorando sus tácticas.
"No solo están buscando credenciales generales, sino también aplicaciones específicas como Grafana, Kubernetes, Docker Compose, acceso a Git y NPM. Además, están buscando bases de datos y sistemas de almacenamiento como Postgres, AWS S3, Filezilla y SQLite".
Este desarrollo llega días después de que Sysdig revelara un nuevo ataque llevado a cabo por SCARLETEEL para comprometer la infraestructura de AWS con el objetivo de robar datos y distribuir mineros de criptomonedas en sistemas comprometidos.
Botnet Silentbob
Aunque había enlaces circunstanciales que conectaban a SCARLETEEL con TeamTNT, Aqua le informó a The Hacker News que el conjunto de intrusiones está, de hecho, vinculado al actor de amenazas.
"Esta es otra campaña de TeamTNT", dijo Morag, analista principal de datos en el equipo de investigación Aqua Nautilus. "La dirección IP de SCARLETEEL, 45.9.148[.]221, se usó hace unos días en el servidor C2 del canal IRC de TeamTNT. Los scripts son muy similares y las TTP son las mismas. Parece que TeamTNT nunca dejó de atacar. Si se retiraron alguna vez, fue solo por un breve momento".
%2021.25.19.png&description="¡El implacable botnet Silentbob ataca: Descubre la campaña masiva que ha infectado cientos de sistemas en la nube!"){kind=link}