17/07/23
Группировка TeamTNT на днях была связана исследователями с двумя кампаниями по краже облачных учётных данных, нацеленых на сервисы Microsoft Azure и Google Cloud Platform (GCP). Это свидетельствует о расширении деятельности хакеров, которые ранее атаковали только Amazon Web Services (AWS).
Об этом независимо друг от друга сообщили компании SentinelOne (отчёт) и Permiso (отчёт), которые отметили, что обе операции имеют явное сходство с инструментами, приписываемыми группе TeamTNT, занимающейся криптоджекингом.
Кроме того, что исследователи связали атаки на Azure и GCP с хакерами TeamTNT, они также установили связь с группировкой SCARLETEEL, о недавней атаке на AWS Fargate Securitylab писала ранее.
Атаки, в ходе которых используются общедоступные экземпляры Docker для развёртывания модуля распространения, по мнению экспертов, являются продолжением серии вторжений, нацеленных на среды Jupyter Notebook в декабре 2022 года.
С 15 июня 2023 года по 11 июля 2023 года было обнаружено восемь новых версий скрипта для сбора учётных данных, что свидетельствует об активно развивающейся угрозе.
Новые версии вредоносного ПО предназначены для сбора учётных данных из AWS, Azure, GCP, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL и SMB. Собранная учётная информация затем отправляется на удалённый сервер под контролем злоумышленника.
SentinelOne заявила, что логика сбора учётных данных и целевые файлы имеют явное сходство с кампанией по атаке Kubelet, проведённой TeamTNT в сентябре 2022 года.
Помимо скрипта вредоносного ПО, злоумышленник также распространял двоичный ELF-файл на основе Golang, действующий как сканер для распространения вредоносного ПО на уязвимые в сети цели.
«Эта кампания демонстрирует эволюцию злоумышленников в облачных средах, которые знают множество технологий и имеют большой опыт. Тщательное внимание к деталям указывает на то, что хакеры долго оттачивали свою технику методом проб и ошибок», — заявили специалисты SentinelOne.
«Мы уверены, что эти киберпреступники активно улучшают свои инструменты. На основе наблюдаемых изменений в течение последних недель можно сделать вывод, что хакеры готовятся к проведению вредоносных операций куда большего масштаба», — подытожили исследователи.
