TeamTNT ha sido descubierto usando la herramienta genuina Weave Scope Docker y Kubernetes como una puerta trasera eficaz para los servidores de destino. Los hackers abusan de la herramienta legítima de monitorización Cloud para infiltrarse en los entornos Linux. Los ciberdelincuentes están abusando de una herramienta confiable de monitorización en la nube de Docker y Kubernetes. Con ella mapean las redes de sus víctimas y ejecutan comandos del sistema.
Ya se sabía anteriormente lo de que se pueden usar imágenes de Docker maliciosas para infectar los servidores de las víctimas. Ahora se ha observado que TeamTNT usa Weave Scope como una puerta trasera efectiva en la infraestructura de redes en la nube de sus objetivos, según un análisis de Intezer.
Weave Scope es una herramienta confiable que brinda a los usuarios acceso completo a su entorno cloud. Está integrado con Docker, Kubernetes, el sistema operativo distribuido en la nube (DC/OS) y AWS Elastic Compute Cloud. Los piratas, sin embargo, han implementado ilícitamente esta herramienta para trazar un mapa de los entornos de posibles víctimas y ejecutar comandos del sistema sin la necesidad de implementar código malicioso.
Los hackers abusan de la herramienta legítima de monitorización Cloud para infiltrarse en los entornos Linux
«Hasta donde sabemos, esta es la primera vez que se detecta a atacantes utilizando software legítimo de terceros para atacar la infraestructura de la nube». Esto lo dijo la investigadora de seguridad de Intezer, Nicole Fishbein. «Cuando se abusa, Weave Scope le da al atacante visibilidad y control total sobre todos los activos en el entorno de nube de la víctima, esencialmente funcionando como una puerta trasera.«
«Al instalar una herramienta legítima como Weave Scope, los atacantes obtienen todos los beneficios como si hubieran instalado una puerta trasera en el servidor, con mucho menos esfuerzo y sin necesidad de usar malware».
La herramienta de código abierto, desarrollada por Weave Works, supervisa y visualiza a los proveedores de servicios de Docker y Kubernetes. Los usuarios obtienen un control total sobre la infraestructura a través de un panel accesible a través de un navegador web.
Para instalar Weave Scope, un hacker necesitaría usar un puerto API de Docker expuesto y crear un nuevo contenedor privilegiado con una imagen limpia de Ubuntu. Este contenedor se configuraría para montar el sistema de archivos del contenedor en el sistema de archivos del servidor de la víctima. Esto otorgaría a los atacantes acceso a todos los archivos del servidor.
Una vez más, la mala configuración es la causante del problema
El comando inicial, según lo observado por Intezer, fue descargar y ejecutar varios criptominers. Después, el atacante intentó obtener acceso root al servidor configurando un usuario privilegiado local en el servidor host. Lo usó para conectarse nuevamente a través de SSH. Posteriormente, los atacantes descargaron e instalaron Weave Scope, que, una vez lanzado, conectó a los ciberdelincuentes con el panel de Weave Scope a través de HTTP en el puerto 4040.
Desde este panel, los piratas informáticos pueden ver un mapa visual del entorno cloud en tiempo de ejecución de Docker. Pueden dar comandos de Shell sin implementar ninguna otra puerta trasera. Esta es la primera vez que un atacante, según Intezer, descarga software legítimo para usarlo como herramienta de administración en el sistema operativo Linux.
La empresa de seguridad cibernética recomendó que las organizaciones cierren todos los puertos de la API de Docker expuestos para evitar la infiltración inicial. Este ataque se aprovecha de la mala configuración común de la API de Docker.