Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Обнаружена первая в мире облачная атака с использованием легитимного инструмента

10/09/20

cloud hackСпециалисты компании Intezer обнаружили первую в мире атаку на облачную среду с использованием легитимных инструментов.

Киберпреступная группировка TeamTNT использует легитимный инструмент для обеспечения видимости и управления скомпрометированными облачными средами. Ранее группировка атаковала системы Docker и Kubernetes с помощью червя для поиска и похищения локальных учетных данных, в том числе для авторизации в AWS.

На скомпрометированные машины злоумышленники устанавливали майнеры криптовалют. Однако в недавних атаках они больше не пользовались червем, а создавали карту облачной среды и запускали команды с помощью легитимного инструмента Weave Scope.

Weave Scope представляет собой инструмент для визуализации и мониторинга Docker и Kubernetes, распределенных облачных операционных систем (DC/OS) и AWS Elastic Compute Cloud (ECS).

По словам специалистов Intezer, группировка TeamTNT начинает атаку с размещения в Docker Hub вредоносного образа Docker, а также использует майнеры криптовалюты и вредоносные скрипты. Через открытый порт Docker API злоумышленники создают новый привилегированный контейнер, в котором запущен «чистый» образ Ubuntu. Они настраивают контейнер так, чтобы его файловая система была подключена к файловой системе сервера жертвы, и таким образом получают доступ к файлам на сервере.

Затем злоумышленники дают контейнеру команду загрузить и запустить майнеры криптовалюты, после чего пытаются повысить свои привилегии до суперпользователя путем создания локального привилегированного пользователя «hilde» на хост-сервере и подключения через него по SSH.

Далее для управления облачной средой жертвы загружается и устанавливается инструмент Weave Scope. Его панель управления отображает визуальную карту инфраструктуры Docker и позволяет атакующим запускать команды оболочки без необходимости устанавливать вредоносное ПО.

«Такой сценарий не просто чрезвычайно редкий. Насколько нам известно, это первый случай загрузки злоумышленниками легитимного ПО в целях использования его как инструмента администрирования операционной системы на базе Linux», - сообщили специалисты.

Темы:Облачные технологииПреступления
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...