Эксперты компании Intezer обнаружили хак-группу TeamTNT, которая использует в своих атаках инструмент Weave Scope, предназначенный для визуализации и мониторинга облачной инфраструктуры. По данным исследователей, это первый случай, когда злоумышленники используют легитимный инструмент для подобных атак.
Как уже было сказано выше, Weave Scope обычно применяется для визуализации и мониторинга облачной инфраструктуры и часто используется в связке с Docker и Kubernetes, а также Distributed Cloud Operating System (DC/OS) и AWS Elastic Compute Cloud. В итоге хакеры из TeamTNT не только визуализировали с его помощью облачные среды своих жертв, но и выполняли команды, обходясь без явного развертывания малвари на целевом сервере.
Аналитики напоминают, что группировка TeamTNT активна как минимум с апреля текущего года и раньше атаковала неправильно настроенные установки Docker, заражая их майнерами и ботами для DDoS-атак. Затем стало известно, что хакеры немного изменили тактику: стали атаковать и Kubernetes тоже, а также начали искать на зараженных серверах учетные данные от Amazon Web Services и похищать их. Кроме того теперь зафиксированы случаи, когда хакеры размещали вредоносные образы на Docker Hub.
В настоящее время тактика атак группы не претерпела сильных изменений, однако изменился способ получения контроля над инфраструктурой зараженного хоста.
Специалисты рассказывают, что проникнув внутрь, хакеры создают новый привилегированный контейнер с чистым образом Ubuntu, который используя для загрузки и выполнения майнеров. Злоумышленники настраивают контейнер таким образом, чтобы его файловая система была подключена к файловой системе сервера-жертвы, получая доступ к файлам на сервере. Атакующие получают root-права, создают локального привилегированного пользователя hilde для подключения к серверу через SSH, а в конечном итоге устанавливают Weave Scope.
«Используя легитимный инструмент, подобный Weave Scope, злоумышленники получают все преимущества установленного на сервере бэкдора, но прилагают значительно меньше усилий и, по сути, не нуждаются в использовании малвари», — пишут эксперты Intezer.
Исследователи предостерегают, что по умолчанию Weave Scope использует порт 4040, чтобы панель мониторинга была доступна, и любой, у кого есть доступ к сети, мог ее просматривать. «Равно как и порт Docker API, этот порт должен быть закрыт или ограничен брандмауэром», — подчеркивают в компании.
