گروه مخربی که حمله به محیطهای ابری مثل Dockers و kubernetes را در کارنامه دارد، با بهرهگیری از ابزارهای مانیتورینگ ابری به عنوان بکدور، موج جدیدی از حملات خود را آغاز نمود.
به گفته اینتزر (Intezer) شرکت امنیتی اسرائیلی، این اولین باری است که با استفاده از نرمافزار قانونی سوم شخص به زیرساخت سرورهای ابری حمله شده است.
با استفاده از نرمافزار WeaveScope (برنامهای که برای مانیتورینگ سرورهای ابری Dockers و kubernetes استفاده میشود)، مهاجم علاوه بر اینکه توانسته نقشه کامل محیط ابری قربانی را بدستآورد، توانسته بدون اجرای هیچ گونه کد مخربی، دستورات سیستمی را بر روی سرور هدف اجرا کند.
گروه موسوم به TeamTNT از ماه آوریل امسال فعالیت خود را آغاز کرده و حملات خود را بر روی پورتهایی از سرور داکرز که پیکربندی نادرستی دارند، معطوف ساختهاست. این گروه با این حملات به نصب بدافزار استخراج رمز ارز پرداخته و حملات DDoS انجام میدهد.
ماه گذشته این گروه تاکتیکهای خود را تغییر داده و توانست با اسکن پورتها و سیستمهای Dockers و kubernetes و جمعآوری اطلاعات مربوط به تنظیمات و رمز ورود به سرورهای AWS، توانست به این سرورها حمله کند.
آنچه که در نحوه عملکرد این گروه تغییر کرده، روش بدستگیری کنترل سیستم یا سرور قربانی است.
پس از اینکه این گروه به سیستم نفوذ کرده، با استفاده از یک فایل ایمیج (Image) سالم اوبونتو، برای خود دسترسی ایجاد کرده و از ان طریق بدافزار استخراج رمز ارز را دانلود و اجرا میکند. همچنین با ایجاد یک کاربر محلی سطح (دسترسی) بالا به نام Hilde، با استفاده از SSH به سرور خود متصل شده و در نهایت نرمافزار WeaveScope را بر روی سرور نصب میکند.
نصب این نرمافزار قانونی، درست به معنی ایجاد یک بکدور بر روی سرور است. با این تفاوت که در این روش دیگر نیازی به بدافزار نبوده و هکر برای دستیابی به هدف خود نیاز به تلاش چندانی ندارد. به نظر میرسد هدف اصلی گروه TeamTNT نصب بدافزار استخراج رمزارز است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.