مجرمو الإنترنت يستغلون أدوات السحابة الشرعية للاختباء
باستخدام برنامج يسمى نطاق نسج، والتي يتم استخدامها كأداة تصور ومراقبة لخدمات Docker و Kubernetes ، لم يعرّف ممثل Teamtnt That فقط البيئة السحابية لضحاياهم ، ولكن أيضًا تم تنفيذه أوامر النظام دون الحاجة إلى نشر رمز ضار على الخادم المستهدف بشكل صريح.
متابعات-ميكسي نيوز
“على حد علمنا ، هذه هي المرة الأولى التي يتم فيها القبض على المهاجمين باستخدام برنامج طرف ثالث شرعي لاستهداف البنية التحتية السحابية” ، قالت شركة الأمن السيبراني الإسرائيلية في أ في أ يوم الثلاثاء تحليل.
باستخدام برنامج يسمى نطاق نسج، والتي يتم استخدامها كأداة تصور ومراقبة لخدمات Docker و Kubernetes ، لم يعرّف ممثل Teamtnt That فقط البيئة السحابية لضحاياهم ، ولكن أيضًا تم تنفيذه أوامر النظام دون الحاجة إلى نشر رمز ضار على الخادم المستهدف بشكل صريح.
لقد كان Teamtnt نشطًا على الأقل منذ ذلك الحين أواخر أبريل هذا العام ، يوجه هجماتهم على موانئ ميناء سوء تكوينها لتثبيت البرامج الضارة للتعدين في العملة المشفرة وروبان رفض الخدمة الموزعة (DDOS).
ثم الشهر الماضي، قامت عصابة تعدين Crypto بتحديث طريقة التشغيل الخاصة بهم إلى تسجيل الدخول إلى تسجيلات خدمات Amazon Web Services (AWS) عن طريق مسح أنظمة Docker و Kubernetes المصابة للحصول على معلومات الاعتماد الحساسة المخزنة في بيانات اعتماد AWS والتكوين الملفات.
على الرغم من أن طريقة الحصول على موطئ قدم أولي لم تتغير ، فإن ما تم تعديله هو طريقة السيطرة على البنية التحتية للمضيف المصاب نفسه.
بمجرد أن يجد المهاجمون طريقهم ، قاموا بإعداد حاوية مميزة جديدة مع صورة نظيفة Ubuntu ، باستخدامها لتنزيل وتنفيذ Cryptominers ، والوصول إلى الجذر إلى الخادم عن طريق إنشاء مستخدم محلي متميز يدعى “Hilde” للاتصال بالخادم عبر SSH ، وفي النهاية تثبيت نطاق نسج.
وقال نيكول فيشبين من إنتير: “من خلال تثبيت أداة مشروعة مثل نطاق نسج ، يجني المهاجمون جميع الفوائد كما لو كانوا قد قاموا بتثبيت الباب الخلفي على الخادم ، مع بذل جهد أقل بكثير ودون الحاجة إلى استخدام البرامج الضارة”.
على الرغم من أن الهدف النهائي لـ TeamTnt يبدو أنه يولد نقودًا من خلال تعدين العملة المشفرة ، إلا أن العديد من المجموعات التي لجأت إلى نشر الديدان المشفرة ناجحة في المساس بأنظمة المؤسسات جزئيًا بسبب نقاط نهاية واجهة برمجة التطبيقات المكشوفة ، مما يجعلها هدفًا جذابًا للسيبراريين.
من المستحسن أن تكون نقاط نهاية API Docker مقصورة على منع الخصوم من السيطرة على الخوادم.
وقالت شركة الأمن السيبراني: “يستخدم نطاق نسج المنفذ الافتراضي 4040 لجعل لوحة القيادة متاحة ويمكن لأي شخص لديه إمكانية الوصول إلى الشبكة عرض لوحة القيادة. على غرار منفذ Docker API ، يجب إغلاق هذا المنفذ أو تقييده بواسطة جدار الحماية”.
