DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Botnet TeamTNT lấy cắp thông tin đăng nhập Docker API và AWS
Các nhà nghiên cứu phát hiện mạng botnet TeamTNT có thể đánh cắp thông tin đăng nhập Docker API và thông tin đăng nhập AWS.
Các nhà nghiên cứu Trend Micro cho biết mạng botnet TeamTNT đã được phát triển thêm nhiều tính năng và hiện có thể đánh cắp thông tin đăng nhập Docker.
Mạng botnet TeamTNT là một hoạt động phần mềm độc hại khai thác tiền điện tử hoạt động từ tháng 4/2020 và nhắm mục tiêu đến việc cài đặt Docker. Từ tháng 8, các chuyên gia bảo mật từ Cado Security phát hiện botnet này cũng có thể nhắm mục tiêu các cài đặt Kubernetes bị cấu hình sai.
Khi lây nhiễm hệ thống, Docker và Kubernetes chạy trên các máy chủ AWS, các bot (bot chỉ thị một máy tính bị nhiễm nằm trong mạng botnet) sẽ quét các đường dẫn ~/.aws/credentials và ~/.aws/config. Đây là các đường dẫn mà AWS CLI lưu trữ thông tin đăng nhập và chi tiết cấu hình trong một tệp không được mã hóa.
Bên cạnh đó, phần mềm độc hại này triển khai công cụ khai thác XMRig để khai thác tiền điện tử Monero. So với các cuộc tấn công tương tự trong quá khứ, các mẫu phần mềm độc hại mới đã được cải tiến đáng kể.
Phân tích của Trend Micro cho biết: “Tập lệnh shell độc hại được sử dụng ở đây được phát triển trên Bash. So với các cuộc tấn công tương tự trước đây, kỹ thuật phát triển đã được tinh chỉnh hơn nhiều cho tập lệnh này; không còn những dòng mã dài vô tận nữa và các mẫu mã độc được tạo cẩn thận và sắp xếp theo chức năng với các tên mô tả".
Biến thể mới của bot cũng có thể thu thập thông tin xác thực Docker API bằng cách sử dụng quy trình chỉ kiểm tra các tệp thông tin xác thực trên máy và sau đó tiến hành lọc. Hai quy trình mới để đánh cắp thông tin xác thực như sau:
Quy trình đầu tiên yêu cầu dịch vụ siêu dữ liệu AWS và cố gắng lấy thông tin đăng nhập từ đó. Quy trình còn lại kiểm tra các biến để tìm thông tin đăng nhập AWS; nếu thông tin được tìm thấy, nó sẽ được tải lên máy chủ C&C.
Gần đây, botnet này bắt đầu nhắm mục tiêu vào các nền tảng container. Các chuyên gia nhận thấy rằng hình ảnh container độc hại được tạo ra gần đây có tổng số lượt tải xuống là 2.000.
Báo cáo kết luận: "Tin tặc tiếp tục triển khai mạnh mẽ các cuộc tấn công để lây lan mã độc. Ngoài ra, tin tặc không ngừng phát triển các tính năng mới cho mạng botnet như: đánh cắp các thông tin nhạy cảm, sử dụng tối đa nguồn tài nguyên của máy chủ để khai thác tiền ảo, trang bị các kỹ thuật nhằm thoát khỏi sự phát hiện của phần mềm bảo mật và tạo một cửa hậu để truy cập khi cần thiết".
“Các cuộc tấn công hiện đang tìm kiếm thông tin đăng nhập Docker, việc triển khai xác thực API là không đủ. Quản trị viên hệ thống cũng phải đảm bảo rằng API không bị lộ công khai và chỉ giới hạn truy cập tới một vài người dùng cụ thể”, trong báo cáo ghi.
Các nhà nghiên cứu Trend Micro cho biết mạng botnet TeamTNT đã được phát triển thêm nhiều tính năng và hiện có thể đánh cắp thông tin đăng nhập Docker.
Mạng botnet TeamTNT là một hoạt động phần mềm độc hại khai thác tiền điện tử hoạt động từ tháng 4/2020 và nhắm mục tiêu đến việc cài đặt Docker. Từ tháng 8, các chuyên gia bảo mật từ Cado Security phát hiện botnet này cũng có thể nhắm mục tiêu các cài đặt Kubernetes bị cấu hình sai.
Khi lây nhiễm hệ thống, Docker và Kubernetes chạy trên các máy chủ AWS, các bot (bot chỉ thị một máy tính bị nhiễm nằm trong mạng botnet) sẽ quét các đường dẫn ~/.aws/credentials và ~/.aws/config. Đây là các đường dẫn mà AWS CLI lưu trữ thông tin đăng nhập và chi tiết cấu hình trong một tệp không được mã hóa.
Bên cạnh đó, phần mềm độc hại này triển khai công cụ khai thác XMRig để khai thác tiền điện tử Monero. So với các cuộc tấn công tương tự trong quá khứ, các mẫu phần mềm độc hại mới đã được cải tiến đáng kể.
Phân tích của Trend Micro cho biết: “Tập lệnh shell độc hại được sử dụng ở đây được phát triển trên Bash. So với các cuộc tấn công tương tự trước đây, kỹ thuật phát triển đã được tinh chỉnh hơn nhiều cho tập lệnh này; không còn những dòng mã dài vô tận nữa và các mẫu mã độc được tạo cẩn thận và sắp xếp theo chức năng với các tên mô tả".
Biến thể mới của bot cũng có thể thu thập thông tin xác thực Docker API bằng cách sử dụng quy trình chỉ kiểm tra các tệp thông tin xác thực trên máy và sau đó tiến hành lọc. Hai quy trình mới để đánh cắp thông tin xác thực như sau:
Quy trình đầu tiên yêu cầu dịch vụ siêu dữ liệu AWS và cố gắng lấy thông tin đăng nhập từ đó. Quy trình còn lại kiểm tra các biến để tìm thông tin đăng nhập AWS; nếu thông tin được tìm thấy, nó sẽ được tải lên máy chủ C&C.
Gần đây, botnet này bắt đầu nhắm mục tiêu vào các nền tảng container. Các chuyên gia nhận thấy rằng hình ảnh container độc hại được tạo ra gần đây có tổng số lượt tải xuống là 2.000.
Báo cáo kết luận: "Tin tặc tiếp tục triển khai mạnh mẽ các cuộc tấn công để lây lan mã độc. Ngoài ra, tin tặc không ngừng phát triển các tính năng mới cho mạng botnet như: đánh cắp các thông tin nhạy cảm, sử dụng tối đa nguồn tài nguyên của máy chủ để khai thác tiền ảo, trang bị các kỹ thuật nhằm thoát khỏi sự phát hiện của phần mềm bảo mật và tạo một cửa hậu để truy cập khi cần thiết".
“Các cuộc tấn công hiện đang tìm kiếm thông tin đăng nhập Docker, việc triển khai xác thực API là không đủ. Quản trị viên hệ thống cũng phải đảm bảo rằng API không bị lộ công khai và chỉ giới hạn truy cập tới một vài người dùng cụ thể”, trong báo cáo ghi.
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: