Следующая новость
Предыдущая новость

Легитимный инструмент Weave Scope применяют во время атак на облачные среды

09.09.2020 22:32
Легитимный инструмент Weave Scope применяют во время атак на облачные среды

Рекомендуем почитать:

Xakep #256. Боевой Linux

  • Содержание выпуска
  • Подписка на «Хакер»

Эксперты компании Intezer обнаружили хак-группу TeamTNT, которая использует в своих атаках инструмент Weave Scope, предназначенный для визуализации и мониторинга облачной инфраструктуры. По данным исследователей, это первый случай, когда злоумышленники используют легитимный инструмент для подобных атак.

Как уже было сказано выше, Weave Scope обычно применяется для визуализации и мониторинга облачной инфраструктуры и часто используется в связке с Docker и Kubernetes, а также Distributed Cloud Operating System (DC/OS) и AWS Elastic Compute Cloud. В итоге хакеры из TeamTNT не только визуализировали с его помощью облачные среды своих жертв, но и выполняли команды, обходясь без явного развертывания малвари на целевом сервере.

Легитимный инструмент Weave Scope применяют во время атак на облачные среды
Интерфейс Weave Scope

Аналитики напоминают, что группировка TeamTNT активна как минимум с апреля текущего года и раньше атаковала неправильно настроенные установки Docker, заражая их майнерами и ботами для DDoS-атак. Затем стало известно, что хакеры немного изменили тактику: стали атаковать и Kubernetes тоже, а также начали искать на зараженных серверах учетные данные от Amazon Web Services и похищать их. Кроме того теперь зафиксированы случаи, когда хакеры размещали вредоносные образы на Docker Hub.

В настоящее время тактика атак группы не претерпела сильных изменений, однако изменился способ получения контроля над инфраструктурой зараженного хоста.

Специалисты рассказывают, что проникнув внутрь, хакеры создают новый привилегированный контейнер с чистым образом Ubuntu, который используя для загрузки и выполнения майнеров. Злоумышленники настраивают контейнер таким образом, чтобы его файловая система была подключена к файловой системе сервера-жертвы, получая доступ к файлам на сервере. Атакующие получают root-права, создают локального привилегированного пользователя hilde для подключения к серверу через SSH, а в конечном итоге устанавливают Weave Scope.

«Используя легитимный инструмент, подобный Weave Scope, злоумышленники получают все преимущества установленного на сервере бэкдора, но прилагают значительно меньше усилий и, по сути, не нуждаются в использовании малвари», — пишут эксперты Intezer.

Исследователи предостерегают, что по умолчанию Weave Scope использует порт 4040, чтобы панель мониторинга была доступна, и любой, у кого есть доступ к сети, мог ее просматривать. «Равно как и порт Docker API, этот порт должен быть закрыт или ограничен брандмауэром», — подчеркивают в компании.

Источник

Последние новости