Piratas informáticos utilizan herramientas de monitoreo en la nube como backdoor – Masterhacks Blog

Piratas informáticos utilizan herramientas de monitoreo en la nube como backdoor

Un grupo de hackers que ha atacado distintos entornos de nube de Docker y Kubernetes, ha evolucionado para reutilizar las herramientas de monitoreo de nube genuinas como una backdoor para llevar a cabo ataques maliciosos.

«Hasta donde sabemos, esta es la primera vez que se detecta a atacantes utilizando software legítimo de terceros para atacar la infraestructura de la nube», dijo la compañía israelí de seguridad, Intezer.

Mediante el software llamado Weave Scope, que se utiliza como una herramienta de visualización y monitoreo para los servicios de Docker y Kubernetes, el grupo de piratas informáticos TeamTNT, no solo mapeó el entorno de nube de sus víctimas, sino que también ejecutó comandos del sistema sin tener que implementar código malicioso en el servidor de destino explícitamente.

TeamTNT ha estado activo al menos desde finales de abril de 2020, dirigiendo sus ataques a puertos Docker mal configurados para instalar un malware de minería de criptomonedas y un bot de denegación de servicio distribuido (DDoS).

El mes pasado, los hackers actualizaron su forma de operar para filtrar los inicios de sesión de Amazon Web Services (AWS) escaneando los sistemas infectados de Docker y Kubernetes en busca de información confidencial de credenciales almacenada en los archivos de configuración de AWS.

Una vez que los atacantes encontraron su objetivo, configuraron un nuevo contenedor privilegiado con una imagen limpia de Ubuntu, usándolo para descargar y ejecutar criptomineros, obtener acceso de root al servidor creando un usuario privilegiado local llamado «hilde» para conectarse al servidor a través de SSH, y finalmente, instalar Weave Scope.

«Al instalar una herramienta legítima como Weave Scope, los atacantes obtienen todos los beneficios como si hubieran instalado una puerta trasera en el servidor, con mucho menos esfuerzo y sin necesidad de usar malware», dijo Nicole Fishbein, de Intezer.

Es recomendable que los puntos finales de la API de Docker tengan acceso restringido para evitar que los adversarios tomen el control de los servidores.

«Weave Scope usa el puerto predeterminado 4040 para hacer que el tablero sea accesible y cualquier persona con acceso a la red puede ver el tablero. Similar al puerto de la API de Docker, este puerto debe estar cerrado o restringido por el firewall», dijo la compañía de seguridad.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *