Catalina Flores
TeamTNT ซึ่งเป็นกลุ่มอาชญากรรมทางไซเบอร์ที่มีชื่อเสียงในการขโมยทรัพยากรคอมพิวเตอร์ได้เริ่มเพิ่มความพยายามในการโจมตีโครงสร้างพื้นฐานของคลาวด์ ข้อมูลข่าวกรองล่าสุดแสดงให้เห็นว่ากลุ่มนี้กำลังมุ่งเน้นไปที่สภาพแวดล้อมที่ใช้คลาวด์เป็นหลัก โดยเฉพาะการใช้การตั้งค่า Docker ที่ถูกเปิดเผยเพื่อนำเข้าซอฟต์แวร์อันตราย รวมถึงสายพันธุ์มัลแวร์ Sliver
รายงานหนึ่งชี้ให้เห็นว่ากลุ่มนี้ได้เปลี่ยนแปลงยุทธวิธี แสดงให้เห็นถึงความสามารถในการปรับตัวในกลยุทธ์การโจมตีที่ซับซ้อนหลายชั้น ซึ่งถูกออกแบบมาเพื่อแทรกซึมและใช้ระบบ Docker ที่ถูกบุกรุก โดยมีรายงานว่าพวกเขาใช้ช่องโหว่ใน API ของ Docker เพื่อทำการขุดcryptocurrency นอกจากนั้นยังเช่าความสามารถในการคอมพิวเตอร์ที่ถูกติดไวรัสให้กับผู้กระทำการที่ไม่หวังดีอื่น ๆ เพื่อขยายแหล่งรายได้ของตน
แคมเปญนี้ถูกนำเสนอเป็นครั้งแรกโดย Datadog ซึ่งติดตามกิจกรรมที่น่าสงสัยซึ่งบ่งชี้ถึง TeamTNT บริษัทได้ค้นพบว่าผู้กระทำผิดได้พยายามจัดระเบียบอินสแตนซ์ Docker ที่ถูกติดไวรัสเข้าด้วยกันในรูปแบบที่เรียกว่า Docker Swarm แต่ขอบเขตทั้งหมดของการดำเนินการนี้เพิ่งจะถูกเปิดเผยในช่วงนี้
การสแกนหาจุดสิ้นสุดของ Docker ที่มีช่องโหว่ช่วยให้ TeamTNT สามารถพภาพรูปภาพอันตรายผ่านบัญชีที่ถูกบุกรุก ผลการค้นพบล่าสุดเผยให้เห็นการเปลี่ยนแปลงที่ชัดเจนจากมัลแวร์รุ่นเก่ามาเป็นเฟรมเวิร์กการควบคุมและจัดการ Sliver รุ่นใหม่ แสดงให้เห็นถึงการพัฒนาวิธีการของกลุ่ม
การกลับมาของ TeamTNT เป็นการย้ำเตือนถึงความเสี่ยงที่เรายืนอยู่จากกลุ่มนี้ ขณะที่พวกเขายังคงพัฒนากลยุทธ์ที่ซับซ้อนในภูมิทัศน์ของภัยคุกคามไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา ขณะที่อันตรายจากการขโมยทรัพยากรทางไซเบอร์ยังคงคุกคาม ความระมัดระวังในด้านความปลอดภัยของคลาวด์เป็นสิ่งสำคัญอย่างยิ่ง
ภัยคุกคามใหม่ใกล้เข้ามา: TeamTNT ฟื้นฟูกลยุทธ์การขโมยทรัพยากรทางไซเบอร์
ในการพัฒนาที่น่ากังวลสำหรับความปลอดภัยทางไซเบอร์ กลุ่ม TeamTNT ที่มีชื่อเสียงได้ปรากฏตัวอีกครั้งด้วยแนวทางที่ล้ำสมัยยิ่งขึ้นในการขโมยทรัพยากรคอมพิวเตอร์ โดยเฉพาะการมุ่งเป้าไปยังสภาพแวดล้อมที่ใช้คลาวด์ ข้อมูลการสอบสวนล่าสุดเผยให้เห็นแนวโน้มที่น่าตกใจเกี่ยวกับวิธีที่กลุ่มนี้ใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานของคลาวด์ ทำให้เกิดความเสี่ยงอย่างร้ายแรงต่อองค์กรต่าง ๆ ทั่วโลก
การเกิดของยุทธวิธีใหม่
ในขณะที่ TeamTNT เป็นที่รู้จักกันดีในเรื่องการมุ่งเน้นไปที่ช่องโหว่ของ Docker container ดูเหมือนว่ากลุ่มนี้ได้เริ่มรวมวิธีการใหม่เข้ามาในปฏิบัติการของตน พวกเขาเริ่มใช้แพลตฟอร์มการจัดการคอนเทนเนอร์เช่น Kubernetes ซึ่งกำลังถูกใช้เพิ่มขึ้นเรื่อย ๆ ในการจัดการ Docker containers โดยการแทรกซึมเข้าไปในสภาพแวดล้อมเหล่านี้ TeamTNT สามารถเข้าถึงทรัพยากรคอมพิวเตอร์ได้มากขึ้นและหลบเลี่ยงการตรวจจับได้อย่างมีประสิทธิภาพมากขึ้น ในขณะที่ความนิยมของโซลูชันคลาวด์เพิ่มขึ้น ผลกระทบจากการโจมตีเหล่านี้ก็จะยิ่งมากขึ้นตามไปด้วย
คำถามสำคัญที่ถูกตอบ
1. ช่องโหว่เฉพาะที่ TeamTNT เล็งเห็นคืออะไร?
TeamTNT ใช้ประโยชน์จากการติดตั้ง Docker ที่กำหนดค่าผิดปกติ, APIs ที่ไม่มีความปลอดภัย, และจุดอ่อนในกระบวนการพิสูจน์ตัวตนของบริการคลาวด์ ซึ่งอนุญาตให้พวกเขาเข้าถึงทรัพยากรการคอมพิวเตอร์อย่างไม่ได้รับอนุญาต
2. แนวทางการทำเงินของกลุ่มนี้ได้พัฒนาไปอย่างไร?
นอกจากการขุดcryptocurrency แล้ว TeamTNT ยังเสนอตลาดเข้าถึงพลังการคอมพิวเตอร์ที่ขโมยมาจากพวกเขาในตลาดมืด ทำให้แหล่งรายได้ขยายมากขึ้นและทำให้การดำเนินงานของพวกเขามีกำไรมากขึ้น
3. ผลกระทบต่อองค์กรที่ใช้บริการคลาวด์คืออะไร?
องค์กรอาจเผชิญกับการหยุดทำงานอย่างมาก, ขาดความสามารถในการทำรายได้อันเนื่องมาจากการถูกใช้ทรัพยากร, และมีความเสี่ยงทางกฎหมายที่อาจเกิดขึ้นจากการไม่สามารถรักษาข้อมูลที่ละเอียดอ่อนได้
ข้อดีและข้อเสียของการกลับมาของ TeamTNT
ข้อดีสำหรับผู้กระทำการ:
– การเข้าถึงที่เพิ่มขึ้น: โดยการใช้ประโยชน์จากสภาพแวดล้อมคลาวด์ TeamTNT สามารถเข้าถึงทรัพยากรการคอมพิวเตอร์ขนาดใหญ่มากกว่าการโจมตีในเครื่องเดสก์ท็อปแบบดั้งเดิม
– รายได้ที่หลากหลาย: ความสามารถในการเช่าทรัพยากรที่ติดไวรัสทำให้รายได้ของพวกเขาเพิ่มขึ้น ทำให้การดำเนินการของพวกเขาทำได้อย่างยั่งยืนมากขึ้น
ข้อเสียสำหรับผู้กระทำการ:
– การตรวจสอบที่เข้มงวดขึ้น: ขณะที่ความรับรู้เกี่ยวกับยุทธวิธีเหล่านี้เพิ่มขึ้น บริษัทความปลอดภัยไซเบอร์และองค์กรต่าง ๆ กำลังมีความระมัดระวังมากขึ้นในการตรวจสอบโครงสร้างพื้นฐานของคลาวด์
– ความเสี่ยงในการถูกตรวจจับ: การใช้งานกรอบการควบคุมที่พัฒนาแล้ว เช่น Sliver อาจส่งผลให้มีการพัฒนาเทคนิคการตรวจจับที่แข็งแกร่งมากขึ้นจากผู้เชี่ยวชาญด้านความปลอดภัย
ความท้าทายและความขัดแย้ง
การกลับมาของ TeamTNT ยกขึ้นมาซึ่งความท้าทายที่สำคัญสำหรับชุมชนความปลอดภัยไซเบอร์ หนึ่งในความท้าทายหลักคือการเชื่อมโยงระหว่างความก้าวหน้าทางเทคโนโลยีที่รวดเร็วในการให้บริการคลาวด์กับการล่าช้าในการนำมาตรการความปลอดภัยที่เพียงพอมาใช้ องค์กรจำนวนมาก โดยเฉพาะองค์กรเล็ก อาจขาดทรัพยากรหรือความเชี่ยวชาญในการรักษาความปลอดภัยโครงสร้างพื้นฐานของตน นอกจากนี้ยังมีการถกเถียงกันเกี่ยวกับความรับผิดชอบในกรณีการละเมิดการบริการคลาวด์ โดยเฉพาะในสภาพแวดล้อมที่แบ่งปันซึ่งอาจมีผู้เช่าอื่น ๆ ที่ได้รับผลกระทบ
บทสรุป
การกลับมาของ TeamTNT เน้นย้ำถึงความจำเป็นในการเพิ่มมาตรการความปลอดภัยของคลาวด์ องค์กรต่าง ๆ ต้องให้ความสำคัญกับการรักษาความปลอดภัยของแอพพลิเคชั่นและโครงสร้างพื้นฐานของตนให้ปลอดภัยจากภัยคุกคามอย่างต่อเนื่องอันเกิดจากการขโมยทรัพยากรทางไซเบอร์ ซึ่งรวมถึงการใช้แนวปฏิบัติที่ดีที่สุด เช่น การตรวจสอบการตั้งค่า Docker อย่างสม่ำเสมอ การดำเนินการด้านความปลอดภัย API อย่างเข้มงวด และการติดตามข้อมูลเกี่ยวกับพาหนะการโจมตีล่าสุดที่ผู้กระทำการใช้
หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการป้องกันองค์กรของคุณจากภัยคุกคามทางไซเบอร์ สามารถไปที่ Cloud Security Alliance เพื่อค้นหาทรัพยากรและแนวปฏิบัติที่ดีที่สุดที่ออกแบบมาสำหรับความปลอดภัยของคลาวด์
