Pesquisadores de segurança alertaram que o grupo de hackers TeamTNT pode estar preparando uma nova campanha significativa contra ambientes nativos da nuvem, depois de detectar um operador de ameaça rastreando servidores mal configurados. A Aqua Security iniciou a investigação após detectar um ataque em um de seus honeypots. Posteriormente, ela encontrou quatro imagens de contêiner maliciosas. No entanto, dado que algumas das funções do código permaneceram sem uso e parecia haver um grau de teste manual em andamento, os pesquisadores avaliam que a campanha ainda não foi totalmente lançada.
“Essa infraestrutura está nos estágios iniciais de teste e implantação e é principalmente consistente com um worm de nuvem agressivo, projetado para implantar em APIs JupyterLab e Docker expostas o malware Tsunami, sequestrar credenciais de nuvem e de recursos e infestação adicional do worm ”, afirmaram os pesquisadores. “Acreditamos fortemente que o TeamTNT está por trás dessa nova campanha.”
O TeamTNT é um grupo de cibercriminosos conhecido por ataques agressivos a sistemas baseados em nuvem, especialmente ambientes Docker e Kubernetes. Ele é especializado em criptomineração, embora com o tempo tenha evoluído para outras atividades maliciosas.
Embora o TeamTNT parecesse ter encerrado as atividades no final de 2021, a Aqua Security vinculou a nova campanha ao grupo por meio do malware Tsunami que costumava usar, do uso da função dAPIpwn e de um servidor de comando e controle (C&C) que opera no idioma alemão.
Veja isso
Ataques impulsionam mercado de segurança multinuvem
Falha de logs permite o roubo de dados do Google Cloud Platform
Os pesquisadores não descartaram a possibilidade de ser um “imitador avançado” — embora deva ser um grupo igualmente sofisticado, capaz de emular o código TeamTNT e que tenha um “distinto senso de humor” e “afinidade com a língua holandesa”.
A atividade maliciosa começa quando o operador da ameaça identifica uma API do Docker ou servidor JupyterLab mal configurado e implanta um contêiner ou se envolve com a interface de linha de comando (CLI) para procurar e identificar vítimas adicionais. “Esse processo foi projetado para espalhar o malware para um número crescente de servidores”, observa a postagem dos pesquisadores no blog da Aqua Security. “A carga secundária desse ataque inclui um criptominerador e uma backdoor, esta última empregando o malware Tsunami como sua arma de escolha.”