Hasta 196 hosts han sido infectados como parte de una agresiva campaña en la nube llevada a cabo por el grupo TeamTNT llamada Silentbob.
"El botnet dirigido por TeamTNT ha puesto su mira en entornos de Docker y Kubernetes, servidores Redis, bases de datos Postgres, clústeres Hadoop, servidores Tomcat y Nginx, Weave Scope, SSH y aplicaciones Jupyter", afirmaron los investigadores de seguridad de Aqua, Ofek Itach y Assaf Morag, en un informe compartido con The Hacker News.
"Esta vez parece que el enfoque está más en infectar sistemas y probar el botnet, en lugar de implementar mineros de criptomonedas con fines de lucro". Este desarrollo llega una semana después de que la compañÃa de seguridad en la nube detallara un conjunto de intrusiones vinculadas al grupo TeamTNT que apunta a las API expuestas de JupyterLab y Docker para implementar el malware Tsunami y aprovechar los recursos del sistema para ejecutar un minero de criptomonedas.
Los hallazgos más recientes sugieren una campaña más amplia y el uso de una infraestructura de ataque más grande de lo que se pensaba anteriormente, que incluye varios scripts de shell para robar credenciales, implementar puertas traseras de SSH, descargar cargas útiles adicionales y dejar herramientas legÃtimas como kubectl, Pacu y Peirates para realizar reconocimiento del entorno en la nube. Las cadenas de ataque se realizan mediante el despliegue de imágenes de contenedores falsas alojadas en Docker Hub, que están diseñadas para escanear Internet en busca de instancias mal configuradas e infectar a las vÃctimas recién identificadas con Tsunami y un script gusano para cooptar más máquinas en un botnet.
"Este botnet es notablemente agresivo, proliferando rápidamente en la nube y apuntando a una amplia variedad de servicios y aplicaciones dentro del Ciclo de Vida del Desarrollo de Software (SDLC)", dijeron los investigadores. "Opera a una velocidad impresionante, demostrando una notable capacidad de escaneo".
Tsunami utiliza el protocolo de chat por Internet Relay (IRC) para conectarse al servidor de comando y control (C2), que luego emite comandos a todos los hosts infectados bajo su control, permitiendo asà que el actor de amenazas mantenga el acceso a la puerta trasera. Además, la ejecución de la minerÃa de criptomonedas está oculta mediante un rootkit llamado prochider para evitar que se detecte cuando se ejecuta el comando ps en el sistema hackeado para recuperar la lista de procesos activos.
"TeamTNT está buscando credenciales en varios entornos de la nube, incluyendo AWS, Azure y GCP", dijeron los investigadores. Es la última evidencia de que los actores de amenazas están mejorando su oficio. "No solo están buscando credenciales generales, sino también aplicaciones especÃficas como Grafana, Kubernetes, Docker Compose, acceso a Git y NPM. Además, están buscando bases de datos y sistemas de almacenamiento como Postgres, AWS S3, Filezilla y SQLite".
Este desarrollo se produce dÃas después de que Sysdig revelara un nuevo ataque llevado a cabo por SCARLETEEL para comprometer la infraestructura de AWS con el objetivo de robar datos y distribuir mineros de criptomonedas en sistemas comprometidos.
Botnet Silentbob Aunque existÃan vÃnculos circunstanciales que relacionaban a SCARLETEEL con TeamTNT, Aqua le informó a The Hacker News que el conjunto de intrusiones está, de hecho, relacionado con el actor de amenazas.
"Esta es otra campaña de TeamTNT", dijo Morag, analista principal de datos en el equipo de investigación de Aqua Nautilus. "La dirección IP de SCARLETEEL, 45.9.148[.]221, se utilizó hace apenas unos dÃas en el servidor de IRC C2 de TeamTNT. Los scripts son muy similares y las TTP (tácticas, técnicas y procedimientos) son las mismas. Parece que TeamTNT nunca dejó de atacar. Si alguna vez se retiraron, fue solo por un breve momento".
Ingresa a nuestro grupo de Telegram y Entérate de Nuestros cursos