Kendall Ricci
צוות TNT, קבוצה ידועה לשמצה המומחית באיומים של כריית מטבעות דיגיטליים, נראה כי מגדילה את מאמציה לפגוע בתשתיות ענן. מודיעין עדכני חושף כי הקבוצה מתמקדת כעת בסביבות מבוססות ענן, ובפרט מנצלת תצורות Docker חשופות כדי לפרוס תוכנה זדונית, כולל זן ה-Sliver.
דו"ח מדגיש כי הקבוצה עברה לתעלולים חדשים, מה שמציג את יכולתה להסתגל לאסטרטגיות התקפה רבת שכבות שנועדו לחדור ולהשתמש בהגדרות Docker שהופרו. הם דיווחו על כך שהם מנצלים פגיעויות ב-API של Docker לא רק כדי לכרות מטבעות דיגיטליים אלא גם כדי להשכיר את כוח החישוב הנגוע לגורמים זדוניים אחרים, וכך מגוונים את מקורות ההכנסה שלהם.
קמפיין זה הובא לראשונה לעין על ידי Datadog, אשר עקבה אחרי פעילות חשודה המצביעה על צוות TNT. החברה גילתה כי הפושעים הסייבר ניסו לארגון מופעים נגועים של Docker לאוסף הידוע כ-Docker Swarm, אך היקף המלא של המבצע נחשף רק לאחרונה.
סריקות אחר נקודות קצה פגיעות ב-Docker מאפשרות לצוות TNT לפרוס תמונות זדוניות דרך חשבונות נגועים. ממצאים עדכניים חושפים שינוי בולט מהתוכנות הזדוניות הישנות למסגרת הפיקוח על פיקוד ושליטה של Sliver, דבר המעיד על התפתחות בדרכי הפעולה של הקבוצה.
השובה עלולה להדגיש את הסיכון המתמשך שנגרם מצוות TNT, הממשיך לפתח אסטרטגיות מתוחכמות בנוף המתפתח של איומים סייבר. כאשר הסכנות שמקורן בכריית מטבעות דיגיטליים נותרות קיימות, השגחה על אבטחת ענן נשארת חיונית.
איום חדש מתקרב: צוות TNT מחיה את אסטרטגיות הכריית מטבעות הדיגיטליים
בפיתוח מדאיג עבור אבטחת הסייבר, הקבוצה הידועה לשמצה צוות TNT חזרה עם גישה מתקדמת אפילו יותר לכּריית מטבעות דיגיטליים, במיוחד הממוקדת בסביבות מבוססות ענן. חקירות עדכניות חושפות מגמה מדאיגה באופן שבו הקבוצה מנצלת פגיעויות בתשתיות ענן, דבר מהווה סיכון קשה לארגונים ברחבי העולם.
הופעת טקטיקות חדשות
בעוד שצוות TNT ידוע בהתמקדותו בפגיעויות במיכלי Docker, נראה כי הקבוצה החלה לשלב מתודולוגיות חדשות לפעולותיה. הם מנצלים עכשיו פלטפורמות ניהול מיכלים כמו Kubernetes, שמשמשות יותר בהגנה על מיכלי Docker. על ידי חדירה לסביבות הללו, צוות TNT יכול להשיג גישה גדולה יותר למשאבי חישוב ולהימנע מגילוי בצורה יעילה יותר. כשפופולריות פתרונות הענן גדלה, כך גם הפוטנציאל של התקפות אלה.
שאלות מרכזיות שענו עליהם
1. מהן הפגיעויות הספציפיות שצוות TNT תוקף?
צוות TNT מנצל בעיקר התקנות לא מסודרות של Docker, API לא מאובטחות וחולשות בתהליכי האימות של שירותי ענן, דבר המאפשר להם להשיג גישה לא מורשית למשאבי חישוב.
2. איך השתנה הגישה של הקבוצה למינוף?
מעבר לכריית מטבעות דיגיטליים, צוות TNT מציע כעת גישה לכוח החישוב הגנוב שלהם בשווקים באנדרגראונד, דבר שמגוון את מקורות ההכנסה שלהם ועושה את הפעולה שלהם לרווחית יותר.
3. מה ההשפעה על ארגונים המשתמשים בשירותי ענן?
ארגונים עלולים להיתקל בזמן השבתה משמעותי, אובדן הכנסות עקב חטיפת משאבים, ואחריות משפטית פוטנציאלית על כישלון בהגנה על נתונים רגישים.
יתרונות וחסרונות של חזרת צוות TNT
יתרונות עבור פעילי איום:
– גישה מוגברת: על ידי ניצול של סביבות ענן, צוות TNT יכול לגשת לבסיסי כוח חישוב גדולים יותר בהשוואה להתקפות שולחן עבודה מסורתיות.
– הכנסה מגוונת: היכולת להשכיר משאבים נגועים מגבירה את הפוטנציאל שלהם להכנסה, מה שעושה את הפעולה שלהם ליותר ברת קיימא.
חסרונות עבור פעילי איום:
– בדיקה מוגברת: ככל שהמודעות לטקטיקות אלו גוברת, חברות אבטחת סייבר וארגונים נעשים יותר ערניים במעקב אחרי התשתיות בענן שלהם.
– סיכון לגילוי: פריסת מסגרות פיקוד ושליטה מתקדמות, כמו Sliver, עשויה להוביל לפיתוח טכניקות גילוי חזקות יותר על ידי מקצועני אבטחה.
אתגרים ומחלוקות
חזרתו של צוות TNT מציבה אתגרים דחופים עבור קהילת אבטחת הסייבר. אחד האתגרים הראשיים הוא גשר הפער שבין ההתקדמות הטכנולוגית המהירה בשירותי ענן לבין האיחור ביישום אמצעי אבטחה מספקים. ארגונים רבים, במיוחד קטנים, עשויים לחסור במשאבים או במומחיות כדי לאבטח את התשתיות שלהם כראוי. בנוסף, קיימת מחלוקת מתמשכת על אחריות בהפרות שירותי ענן, במיוחד בסביבות مشترכות שבהן יכולים להיות מושפעים שוכנים מרובים.
סיכום
חזרתו של צוות TNT מדגישה את הצורך החיוני בשיפור אמצעי אבטחת הענן. ארגונים חייבים להעדיף את אבטחת היישומים והתשתיות שלהם מפני האיומים המתמשכים שמקורם בכּריית מטבעות דיגיטליים. זה כולל אימוץ שיטות עבודה מומלצות כמו ביצוע ביקורות רגילות של תצורות Docker, יישום אמצעי אבטחת API מחמירים, והישארות מעודכנים לגבי הווקטורים החדשים שבהם משתמשים פעילי האיום.
כדי ללמוד עוד על איך להגן על הארגון שלך מפני איומי סייבר, בקר ב-Cloud Security Alliance למשאבים ושיטות עבודה מומלצות המותאמות לאבטחת ענן.
