Catalina Flores
Група TeamTNT, відома своєю спеціалізацією у криптоджекінгу, схоже, активізувала свої зусилля щодо компрометації хмарних інфраструктур. Останні дані свідчать про те, що група тепер зосередилася на хмарних нативних середовищах, зокрема використовуючи уразливі конфігурації Docker для розгортання шкідливого програмного забезпечення, включаючи варіант пошкодженого програмного забезпечення Sliver.
У звіті підкреслюється, що ця група змінила свої тактики, демонструючи свою здатність адаптуватися до багатоаспектних стратегій атак, спрямованих на проникнення і використання скомпрометованих налаштувань Docker. За повідомленнями, вони експлуатують уразливості в Docker API, не лише для видобутку криптовалют, а й для надання заражених обчислювальних ресурсів іншим зловмисникам, диверсифікуючи свої джерела доходу.
Кампанію спочатку виявила компанія Datadog, яка відстежувала підозрілу активність, що натякала на TeamTNT. Фірма виявила, що кіберзлочинці намагаються організувати заражені Docker-інстанси в колектив, відомий як Docker Swarm, однак повний масштаб операції був розкритий тільки нещодавно.
Сканування вразливих Docker-ендпойнтів дозволяє TeamTNT розгортати шкідливі образи через скомпрометовані облікові записи. Останні знахідки свідчать про значну зміну від старшого шкідливого програмного забезпечення до нової платформи командного і контрольного управління Sliver, що вказує на еволюцію методів групи.
Це відродження підкреслює триваючий ризик, який представляє TeamTNT, оскільки вони продовжують розвивати складні стратегії в постійно змінному ландшафті кіберзагроз. Оскільки небезпеки, пов’язані з криптоджекінгом, залишаються, пильність у безпеці хмарних технологій залишається критично важливою.
Новий загрозливий фактор: TeamTNT поновлює стратегії криптоджекінгу
У хвилюючому розвитку для кібербезпеки, відома група TeamTNT знову з’явилася з ще більш просунутим підходом до криптоджекінгу, особливо націлившись на хмарно-орієнтовані середовища. Останні розслідування виявили тривожну тенденцію в тому, як ця група експлуатує вразливості в хмарних інфраструктурах, що становить серйозні ризики для організацій у всьому світі.
Виникнення нових тактик
Хоча TeamTNT відома своєю увагою до вразливостей контейнерів Docker, схоже, що група почала інтегрувати нові методології в свої операції. Вони тепер використовують платформи управління контейнерами, такі як Kubernetes, які все частіше використовуються для управління контейнерами Docker. Проникнувши в ці середовища, TeamTNT може отримати більше доступу до обчислювальних ресурсів і ефективніше уникати виявлень. З ростом популярності хмарних рішень зростає й потенційний вплив цих атак.
Ключові питання
1. Які конкретні вразливості намагається експлуатувати TeamTNT?
TeamTNT головним чином експлуатує неправильно налаштовані установки Docker, незахищені API та вразливості в процесах аутентифікації хмарних сервісів, що дозволяє їм отримати несанкціонований доступ до обчислювальних ресурсів.
2. Як змінився підхід групи до монетизації?
Окрім видобутку криптовалют, TeamTNT тепер пропонує доступ до своїх вкрадених обчислювальних потужностей на чорному ринку, розширюючи свої джерела доходу та роблячи свої операції більш прибутковими.
3. Який вплив це має на організації, які використовують хмарні сервіси?
Організації можуть зіткнутися з істотними простою, втратою доходу через захоплення ресурсів та потенційними юридичними відповідальностями за невжиття заходів для захисту чутливих даних.
Переваги та недоліки відновлення TeamTNT
Переваги для зловмисників:
– Збільшений доступ: Експлуатуючи хмарні середовища, TeamTNT може отримати доступ до більших пулів обчислювальних ресурсів в порівнянні з традиційними атаками на настільні комп’ютери.
– Диверсифікований дохід: Здатність здавати в оренду заражені ресурси збільшує їх потенціал доходу, роблячи їх операції більш стійкими.
Недоліки для зловмисників:
– Підвищений контроль: Оскільки обізнаність про ці тактики зростає, компанії з кібербезпеки та організації стають більш пильними у моніторингу своїх хмарних інфраструктур.
– Ризик виявлення: Впровадження еволюційних платформ командного та контрольного управління, таких як Sliver, може призвести до розробки більш надійних технік виявлення, які створять фахівці з безпеки.
Виклики та суперечки
Відродження TeamTNT ставить перед спільнотою з кібербезпеки серйозні виклики. Одним з основних викликів є подолання розриву між швидким технологічним прогресом у хмарних послугах та затримкою у впровадженні достатніх заходів безпеки. Багато організацій, зокрема менші, можуть не мати ресурсів або експертизи для адекватного забезпечення своїх інфраструктур. Додатково триває дебат щодо відповідальності в разі порушення безпеки хмарних сервісів, особливо у спільних середовищах, де можуть бути задіяні кілька орендарів.
Висновок
Відродження TeamTNT підкреслює необхідність покращення заходів безпеки хмарних технологій. Організації повинні пріоритизувати захист своїх застосунків та інфраструктури від постійних загроз, які представляє криптоджекінг. Це включає в себе впровадження найкращих практик, таких як регулярні аудити конфігурацій Docker, реалізація суворих заходів безпеки для API та постійне інформування про останні вектори атак, які використовують зловмисники.
Щоб дізнатися більше про те, як захистити вашу організацію від кіберзагроз, відвідайте Cloud Security Alliance для отримання ресурсів і найкращих практик, спеціально розроблених для безпеки хмарних технологій.
