شرکت Intezer خبر از شناسایی یک حمله جدید داده که در آن گروه هکری TeamTNT سعی در به کنترل گرفتن سیستمهای مبتنی بر فناوری ابر داشته است. مهاجمان این کار را با سوءاستفاده از ابزار Weave Scope انجام داده اند. این ابزار به کاربران امکان میدهد کنترل کامل زیرساختهای ابری از جمله تمام دادههای مربوط به مخازن و میزبانها را تحت اختیار خود بگیرند.
TeamTNT در ابتدا از یک پورت Docker API باز برای ایجاد یک مخزن استفاده میکند. سطح امتیاز و دسترسی این مخزن به اندازهای بالا است که مهاجمان با پیکربندی آن میتوانند فایل سیستم آن را بر روی فایل سیستم سرور قربانی نصب کنند. در این مرحله، اعضای گروه TeamTNT به این مخزن فرمان میدهند تا چندین کریپتوماینر (استخراج کننده رمزارز) را اجرا کند.
سپس این مخزن سعی میکند با تنظیم یک کاربر محلی به نام “hilde” بر روی سرور، از این حساب کاربری برای ارتباط با مهاجمان سوءاستفاده نماید.مهاجمان می کوشند پس از دانلود و نصب Weave Scope، از طریق پورت ۴۰۴۰ HTTP با آن ارتباط برقرار کنند. ارتباط موفق با این بدافزار این امکان را برای مهاجمان فراهم می کند تا بدون نیاز به دانلود در پشتی یا سایر بدافزارها بتوانند فرمانهای لازم را اجرا کنند.
گروه TeamTNT چندین ماه است که در حال اجرای چنین حملاتی بر ضد زیرساختهای ابری است. اولین بار محققان متوجه اجرای حملاتی با استفاده از یک بدافزار استخراج رمزارز برای سرقت اطلاعات کاربران شدند.محققان برای تحلیل عملکرد این حمله، یکسری اطلاعات حساب آزمایشی را به سرور مهاجمان ارسال کردند. بر اساس بررسی آنها هنوز گروه TeamTNT از این اطلاعات استفاده ای نکردهاند. آنها دلیل این تأخیر را احتمال بررسی اطلاعات حساب کاربری قبل از استفاده از آن یا نقص در قابلیتهای خودکارسازی این حمله میدانند.
بدافزار خودش را بر روی سیستم قربانی نصب میکند. مهاجمان از این روش برای توزیع یک ابزار استخراج رمزارز مونرو به نام “XMRig” استفاده میکنند. در کنار این ابزار از یک ابزار سوءاستفاده از پوسته امن، یک راهکار پاکسازی اطلاعات ثبت شده، یک روتکیت (نوعی از حمله است که در آن مجموعهای از نرمافزارها کنترل سیستم رایانهای کاربر را به دست میگیرند) و یک در پشتی (از طریق در پشتی می توان بدون اجازه به قسمت(های) مشخصی از یک سامانه دیگر مانند رایانه، دیوار آتش، یا … دست یافت) هم استفاده میشود.
فعالیت گروههایی مثل TeamTNT نیاز به حفاظت هر چه بیشتر از سیستمهای رایانش ابری را نشان میدهد. همچنین لازم است در کنار انجام منظم آزمون نفوذپذیری، برنامه ای نیز برای مدیریت آسیبپذیری ها داشته باشید. در نهایت می بایست از یک پلتفرم ابر ترکیبی استفاده کنید . این راهکار باید به صورت شفاف مدیریت شود تا نتایج تطبیق پیدا کند.
