Η καμπάνια κλοπής Cloud Credential της TeamTNT στοχεύει τώρα το Azure και το Google Cloud
Ένας απειλητικός παράγοντας συνδέθηκε με μια εκστρατεία κλοπής cloud credential τον Ιούνιο του 2023, η οποία επικεντρώνεται στις υπηρεσίες Azure και Google Cloud Platform (GCP), σηματοδοτώντας την επέκταση του αντιπάλου πέρα από τη στόχευση των Amazon Web Services (AWS).
Δείτε επίσης: Zimbra προς admins: Διορθώστε χειροκίνητα αυτή την zero-day ευπάθεια
Τα ευρήματα προέρχονται από τις εταιρείες SentinelOne και Permiso, οι οποίες δήλωσαν ότι “οι εκστρατείες μοιράζονται ομοιότητες με εργαλεία που αποδίδονται στη διαβόητη ομάδα cryptojacking TeamTNT”, αν και τόνισαν ότι “η απόδοση παραμένει δύσκολη με εργαλεία που βασίζονται σε σενάρια”.
Επικαλύπτονται επίσης με μια εν εξελίξει εκστρατεία της TeamTNT, που αποκαλύφθηκε από την Aqua, με την ονομασία Silentbob, η οποία αξιοποιεί λανθασμένα ρυθμισμένες υπηρεσίες cloud για το drop κακόβουλου λογισμικού στο πλαίσιο μιας προσπάθειας δοκιμών, όπως λέγεται. Επιπλέον, συνδέει τις επιθέσεις SCARLETEEL με τον απειλητικό φορέα, επικαλούμενη κοινά στοιχεία υποδομής.
Δείτε επίσης: Shutterfly: Η επίθεση Clop ransomware δεν επηρέασε τα δεδομένα πελατών
Οι επιθέσεις, οι οποίες εντοπίζουν μόνο δημόσια Docker instances για να αναπτύξουν μια μονάδα διάδοσης που μοιάζει με worm, αποτελούν συνέχεια ενός συνόλου εισβολών που είχε ήδη στοχεύσει τα Jupyter Notebooks τον Δεκέμβριο του 2020.
Μεταξύ της 15ης Ιουνίου 2023 και της 11ης Ιουλίου 2023 έχουν ανακαλυφθεί οκτώ πρόσθετες εκδόσεις του credential harvesting script, γεγονός που υποδεικνύει μια ενεργά εξελισσόμενη εκστρατεία.
Οι νεότερες εκδόσεις του κακόβουλου λογισμικού έχουν σχεδιαστεί για να συλλέγουν διαπιστευτήρια από AWS, Azure, Google Cloud Platform, Censys, Docker, FileZilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL και SMB. Στη συνέχεια, τα credentials που συλλέγονται μεταφέρονται σε έναν απομακρυσμένο διακομιστή υπό τον έλεγχο του απειλητικού παράγοντα.
Δείτε επίσης: Χρηματοοικονομικές υπηρεσίες έχασαν $ 32 δισ. σε πέντε χρόνια λόγω ransomware
Η SentinelOne δήλωσε ότι η λογική συλλογής credentials και τα στοχευμένα αρχεία παρουσιάζουν ομοιότητες με μια εκστρατεία στόχευσης Kubelet της οποίας την ευθύνη ανέλαβε η TeamTNT τον Σεπτέμβριο του 2020.
Παράλληλα με το κακόβουλο λογισμικό shell script, ο απειλητικός παράγοντας έχει επίσης παρατηρηθεί να διανέμει ένα ELF binary βασισμένο στην Golang, το οποίο λειτουργεί ως σαρωτής για τη διάδοση του κακόβουλου λογισμικού σε ευάλωτους στόχους. Το binary κάνει drop περαιτέρω ένα βοηθητικό πρόγραμμα σάρωσης δικτύου Golang που ονομάζεται Zgrab.
Πηγή πληροφοριών: thehackernews.com
