Τρίτη, 1 Δεκεμβρίου, 12:03
Αρχική security Χάκερς επιτίθενται μέσα από νόμιμο εργαλείο παρακολούθησης cloud!

Χάκερς επιτίθενται μέσα από νόμιμο εργαλείο παρακολούθησης cloud!

Σε πρόσφατη επίθεση, οι χάκερς της ομάδας TeamTNT βασίστηκαν σε ένα νόμιμο εργαλείο για να αποφύγουν την ανάπτυξη κακόβουλου κώδικα σε παραβιασμένη cloud υποδομή. Συγκεκριμένα, χρησιμοποίησαν ένα εργαλείο ανοιχτού κώδικα που έχει δημιουργηθεί για να παρακολουθεί και να ελέγχει cloud περιβάλλοντα με Docker και Kubernetes installations, μειώνοντας έτσι το αποτύπωμά τους σε έναν παραβιασμένο server.

Αναλύοντας την επίθεση, οι ερευνητές της εταιρείας κυβερνοασφάλειας “Intezer” ανακάλυψαν ότι πέρα από το ότι χρησιμοποιεί κακόβουλες εικόνες Docker για να μολύνει τους servers των θυμάτων, πράγμα που ήταν ήδη γνωστό, η TeamTNT έχει πλέον παρατηρηθεί ότι χρησιμοποιεί το Weave Scope ως ένα αποτελεσματικό backdoor στην υποδομή δικτύωσης cloud των στόχων της, σύμφωνα με την ανάλυση της Intezer.

Το Weave Scope που αναπτύχθηκε από την Weave Works, είναι ένα αξιόπιστο εργαλείο που παρέχει στους χρήστες πλήρη πρόσβαση στο cloud περιβάλλον τους, και είναι ενσωματωμένο στο Docker, το Kubernetes, το Distributed Cloud Operating System (DC / OS) και το AWS Elastic Compute Cloud (ECS). Ωστόσο, οι χάκερς έχουν εκμεταλλευτεί αυτό το εργαλείο για να χαρτογραφήσουν τα περιβάλλοντα των υποψήφιων θυμάτων και να εκτελέσουν εντολές συστήματος χωρίς να χρειαστεί να αναπτύξουν κακόβουλο κώδικα. Η νέα αυτή τακτική υποδηλώνει την εξέλιξη της συγκεκριμένης συμμορίας.

Σύμφωνα με την ερευνήτρια ασφαλείας της Intezer, Nicole Fishbein, αυτή είναι η πρώτη φορά που αποκαλύπτεται ότι χάκερς καταχρώνται ένα νόμιμο third-party software για να στοχεύσουν μία cloud υποδομή. Με αυτόν τον τρόπο, οι χάκερς είχαν πλήρη ορατότητα και έλεγχο στις πληροφορίες που περιλαμβάνει το cloud περιβάλλον του θύματος, λειτουργώντας ουσιαστικά ως backdoor. Η Fishbein επισημαίνει ακόμη ότι με την εγκατάσταση ενός νόμιμου εργαλείου όπως το Weave Scope, οι εισβολείς αποκομίζουν όλα τα πλεονεκτήματα, σαν να είχαν εγκαταστήσει ένα backdoor σε έναν server, με σημαντικά λιγότερη προσπάθεια και χωρίς να χρειάζεται να χρησιμοποιήσουν malware.

Για να εγκαταστήσουν το νόμιμο εργαλείο “Weave Scope”, οι χάκερς χρησιμοποίησαν μια εκτεθειμένη θύρα του Docker API και δημιούργησαν ένα νέο προνομιακό container με καθαρή Ubuntu εικόνα. Στη συνέχεια, αυτό το container ρυθμίστηκε ώστε να προσαρτήσει το σύστημα αρχείων του container στο σύστημα αρχείων του server του θύματος και επομένως να παρέχει στους εισβολείς πρόσβαση σε όλα τα αρχεία του server.

Η αρχική εντολή, όπως παρατηρήθηκε από την Intezer, ήταν η λήψη και η εκτέλεση πολλών criptominers. Στη συνέχεια, οι χάκερς προσπάθησαν να αποκτήσουν root πρόσβαση στον server δημιουργώντας έναν τοπικό προνομιακό χρήστη στον κεντρικό server, τον οποίο χρησιμοποίησαν για να συνδεθούν ξανά μέσω του Secure Shell (SSH). Στη συνέχεια, κατέβασαν και εγκατέστησαν το Weave Scope, το οποίο, μόλις ξεκίνησε, συνέδεσε τους χάκερς με το Weave Scope dashboard μέσω HTTP στη θύρα 4040.

Η Intezer συνιστά στους οργανισμούς να κλείσουν τυχόν εκτεθειμένες θύρες Docker API για να αποτρέψουν την αρχική διείσδυση, δεδομένου ότι αυτή η επίθεση εκμεταλλεύεται μια εσφαλμένη διαμόρφωση του Docker API. Όλες οι θύρες του Docker API θα πρέπει επομένως είτε να είναι κλειστές είτε να περιέχουν περιορισμένες πολιτικές πρόσβασης στο firewall. Οι οργανισμοί πρέπει επίσης να αποκλείσουν τις εισερχόμενες συνδέσεις στη θύρα 4040, δεδομένου ότι το Weave Scope την χρησιμοποιεί ως προεπιλογή για να καταστήσει το dashboard προσβάσιμο.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Πώς θα κρατήσετε ασφαλή τον Apple λογαριασμό σας

Ο λογαριασμός Apple ή αλλιώς το Apple ID, είναι απαραίτητος σε κάθε χρήστη καθώς επιτρέπει την πρόσβαση σε διάφορες συσκευές και υπηρεσίες...

Gootkit malware: Επιστρέφει και στοχεύει μαζί με το REvil τη Γερμανία!

Το Gootkit, ένα trojan που κλέβει πληροφορίες από τα συστήματα των θυμάτων του, κάνει την επανεμφάνισή του στο τοπίο των απειλών, ύστερα...

AspenPointe: Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ υπέστη data breach

Ο πάροχος υγειονομικής περίθαλψης των ΗΠΑ “AspenPointe” ενημέρωσε τους ασθενείς του για data breach που προήλθε από μία κυβερνοεπίθεση του Σεπτεμβρίου, με...

Βερμόντ: Τα νοσοκομεία του ακόμα ανακάμπτουν από την επίθεση του Ryuk ransomware

Τα νοσοκομεία του Βερμόντ συνεχίζουν να ανακάμπτουν από τον Οκτώβριο που υπέστησαν επίθεση από το Ryuk ransomware, επαναφέροντας σιγά-σιγά τις υπηρεσίες τους...

Αύξηση των malware που στοχεύουν Docker συστήματα

Προς το τέλος του 2017, οι ερευνητές ασφαλείας παρατήρησαν μια μεγάλη αλλαγή στις malware επιθέσεις. Καθώς οι τεχνολογίες που βασίζονται στο cloud...

Τέσσερις κορυφαίες ευπάθειες στα σημερινά αυτοκίνητα

Τα αυτοκίνητα στις μέρες μας, διαθέτουν αρκετά τεχνολογικά μέσα. Ακόμα και πριν βάλετε μπροστά το αυτοκίνητό σας, εκείνο επικοινωνεί ενεργά με τον...

WebKit: Ευπάθειες επιτρέπουν εκτέλεση κώδικα μέσω κακόβουλων sites

Σύμφωνα με τους ερευνητές ασφαλείας της Cisco Talos, το WebKit browser engine είναι αυτή τη στιγμή ευάλωτο...

ΗΠΑ: Πρώτες στον κόσμο στις παραβιάσεις δεδομένων

Σύμφωνα με μία αναφορά της Uswitch, οι ΗΠΑ κατέχουν την πρώτη θέση στις παραβιάσεις δεδομένων στον κόσμο, ξεπερνώντας την Κίνα, την Ινδία...

Microsoft: Συνδέει κρατικούς hackers του Βιετνάμ με crypto-mining εκστρατεία

Σύμφωνα με μια έκθεση της Microsoft, μια hacking ομάδα που συνδέεται με τη κυβέρνηση του Βιετνάμ, άρχισε να χρησιμοποιεί ένα crypto-mining malware...

Hackers από το Βιετνάμ χρησιμοποιούν νέο macOS backdoor

Οι ερευνητές της Trend Micro έχουν εντοπίσει ένα νέο macOS backdoor που πιστεύουν ότι χρησιμοποιείται από τη hacking ομάδα του Βιετνάμ, OceanLotus.