Η διαβόητη ομάδα κυβερνοεγκληματιών TeamTNT ξεκίνησε μια νέα εκστρατεία επιθέσεων σε cloud-native περιβάλλοντα, με στόχο την εξόρυξη κρυπτονομισμάτων και την εκμετάλλευση παραβιασμένων servers, τους οποίους ενοικιάζει σε τρίτους.
Η ομάδα TeamTNT, γνωστή για την ευελιξία και την ικανότητά της να εξελίσσει τις τακτικές της, συνεχίζει να αξιοποιεί και να διαχειρίζεται πολυσταδιακές επιθέσεις με απώτερο σκοπό τον έλεγχο Docker περιβαλλόντων και την ενσωμάτωση αυτών σε Docker Swarm για παράνομη εξόρυξη κρυπτονομισμάτων.
Ο Assaf Morag, διευθυντής του τμήματος απειλών κυβερνοασφάλειας στην εταιρεία Aqua, αναφέρει ότι η TeamTNT στοχεύει εκτεθειμένους Docker daemons για να αναπτύξει το κακόβουλο λογισμικό Sliver, έναν ψηφιακό ιό που λειτουργεί ως cyber worm και λογισμικό εξόρυξης κρυπτονομισμάτων. Στη συνέχεια, χρησιμοποιούν την υποδομή των παραβιασμένων servers και το Docker Hub για να διαδώσουν το κακόβουλο λογισμικό τους σε άλλους servers. Παράλληλα, αξιοποιούν τη διαθέσιμη υπολογιστική δύναμη των «θυμάτων» τους για παράνομη εξόρυξη και ενοικίαση των servers σε άλλους επιτήδειους.
Τα πρώτα σημάδια της εκστρατείας εμφανίστηκαν νωρίτερα τον Οκτώβριο, όταν η εταιρεία Datadog εντόπισε κακόβουλες απόπειρες που στόχευαν τη συγκέντρωση μολυσμένων Docker instances σε ένα Docker Swarm. Αν και δεν υπήρχε αρχικά επίσημη επιβεβαίωση της εμπλοκής της TeamTNT, η ανακάλυψη αυτή φέρνει πλέον στο φως τις λεπτομέρειες μιας ευρύτερης και πιο οργανωμένης εκστρατείας, όπως επιβεβαίωσε η Aqua.

Πώς Πραγματοποιούνται οι Επίθεσεις
Η ομάδα TeamTNT αναζητά εκτεθειμένα Docker API σημεία με εργαλεία όπως τα masscan και ZGrab, επιδιώκοντας να εντοπίσει ανοιχτά ports που θα τους επιτρέψουν να εκτελέσουν κώδικα εξόρυξης. Μετά τον εντοπισμό των Docker daemons, αναπτύσσουν ένα container με το λειτουργικό σύστημα Alpine Linux και εντολές κακόβουλου χαρακτήρα. Μέρος της διαδικασίας είναι η εκτέλεση ενός αρχικού script που ονομάζεται Docker Gatling Gun (TDGGinit.sh), το οποίο ενεργοποιεί τις επόμενες φάσεις της επίθεσης.
Σε μια σημαντική αλλαγή της στρατηγικής της, η TeamTNT αντικατέστησε το Tsunami backdoor με το Sliver, ένα ανοιχτού κώδικα command-and-control (C2) σύστημα που επιτρέπει τον απομακρυσμένο έλεγχο των παραβιασμένων servers. Η χρήση του Sliver αντί του Tsunami δείχνει την προσπάθεια της ομάδας να βελτιώσει την ταχύτητα και την αποδοτικότητα των επιθέσεων της, ελαχιστοποιώντας την πιθανότητα ανίχνευσης από τις παραδοσιακές λύσεις ασφάλειας.
Καινοτομίες στην Τακτική της TeamTNT
Μια άλλη αλλαγή τακτικής που διαπιστώθηκε είναι η χρήση του anondns (Anonymous DNS), ενός εργαλείου που επιτρέπει την ανώνυμη πρόσβαση σε DNS queries και μπορεί να ενισχύσει την προστασία της ταυτότητας των hackers κατά τη διάρκεια της επίθεσης. Αυτή η κίνηση επιτρέπει στην ομάδα να αποκρύπτει την τοποθεσία του server που χρησιμοποιεί για να διανέμει κακόβουλο λογισμικό, δυσχεραίνοντας την ανίχνευση και την άμεση απάντηση από τους ειδικούς κυβερνοασφάλειας.
Συμπεράσματα και Συστάσεις
Η νέα εκστρατεία της TeamTNT καταδεικνύει για ακόμη μια φορά την ικανότητα των κυβερνοεγκληματιών να προσαρμόζονται και να εξελίσσουν τις επιθέσεις τους, εκμεταλλευόμενοι τις ευπάθειες στις υποδομές cloud και τη σχετική έλλειψη ασφάλειας που παρατηρείται συχνά σε δημόσια διαθέσιμες υπηρεσίες. Η αποφυγή αυτών των επιθέσεων απαιτεί συνεχή ενημέρωση των πολιτικών ασφάλειας, περιοδικό έλεγχο των ανοιχτών ports και περιορισμό της πρόσβασης σε ευαίσθητες εφαρμογές όπως τα Docker daemons.
Οι εταιρείες που χρησιμοποιούν Docker ή άλλες cloud-native εφαρμογές θα πρέπει να επενδύσουν στην ανίχνευση ασυνήθιστης δραστηριότητας και στον περιορισμό των ανοιχτών API endpoints, ενώ ταυτόχρονα να διασφαλίζουν ότι η ασφάλεια είναι ενσωματωμένη σε κάθε στάδιο ανάπτυξης των εφαρμογών τους. Η εκπαίδευση των χρηστών σε βασικές αρχές κυβερνοασφάλειας και η τακτική ενημέρωση των συστημάτων θα μπορούσαν επίσης να αποτρέψουν πολλές από αυτές τις επιθέσεις.