TeamTNT a obtenu le contrôle à distance d’instances cloud

Le gang de cybercriminel TeamTNT est de retour, attaquant les instances cloud Docker et Kubernetes en abusant d’un outil légitime de surveillance du cloud appelé Weave Scope, selon les chercheurs.

Weave Scope «fournit une vue descendante de votre application ainsi que de l’ensemble de votre infrastructure, et vous permet de diagnostiquer en temps réel tout problème avec votre application conteneurisée distribuée, lors de son déploiement sur un fournisseur de cloud». selon son site Web.

En d’autres termes, il s’agit d’un outil fiable qui, selon les chercheurs d’Intezer, donne aux utilisateurs un accès complet aux environnements cloud. Il peut être intégré à Docker, Kubernetes, le Distributed Cloud Operating System (DC/OS) et Amazon Web Services Elastic Compute Cloud (ECS) et il donne aux cybercriminels une entrée parfaite dans l’infrastructure cloud d’une entreprise.

cloud

“Les attaquants installent cet outil afin de cartographier l’environnement cloud de leur victime et d’exécuter des commandes système sans déployer de code malveillant sur le serveur”, a expliqué Nicole Fishbein, analyste de malwares chez Intezer, dans un communiqué. “En cas d’abus, Weave Scope donne à l’attaquant une visibilité et un contrôle complets sur tous les actifs de l’environnement cloud de la victime, fonctionnant essentiellement comme une porte dérobée.”

Les attaquants peuvent ainsi accéder à toutes les informations sur l’environnement du serveur de la victime ainsi qu’à la capacité de contrôler les applications installées, d’établir ou de rompre les connexions entre les charges de travail cloud, l’utilisation de la mémoire et du processeur, et «une liste de conteneurs existants avec la possibilité de démarrer, arrêter et ouvrir les coques interactives dans l’un de ces conteneurs », selon le chercheur.

Scénario d’attaque de TeamTNT

Intezer a observé une série de ces types d’attaques. Quant à la façon dont l’attaque commence, les attaquants localisent d’abord un port d’API Docker exposé et mal configuré, a détaillé Fishbein, les mauvaises configurations sont le point de départ de la plupart des attaques sur le cloud. Ils peuvent ensuite utiliser ce port pour créer un nouveau conteneur privilégié avec une image Ubuntu propre.

«Le conteneur est configuré pour monter le système de fichiers du conteneur sur le système de fichiers du serveur victime, permettant ainsi aux attaquants d’accéder à tous les fichiers du serveur», a-t-elle expliqué. «Les attaquants tentent ensuite d’obtenir un accès root au serveur en configurant un utilisateur privilégié local nommé ‘hild ’ sur le serveur hôte et l’utilisent pour se reconnecter via SSH.»

Dans la série d’attaques récemment observée, une fois «dedans», la commande initiale donnée au conteneur est de télécharger et d’exécuter plusieurs cryptomineurs. Mais ensuite, les attaquants téléchargent et installent Weave Scope.

“Comme décrit dans le guide d’installation git de Weave Scope, il suffit de quelques commandes pour terminer l’installation de l’outil”, a déclaré Fishbein. “Une fois installés, les attaquants peuvent se connecter au tableau de bord Weave Scope via HTTP sur le port 4040 et obtenir une visibilité et un contrôle complets sur l’infrastructure de la victime.”

Microsoft a également observé la dernière activité du groupe utilisant Weave Scope et a constaté que le point d’accès initial était en fait Weave Scope lui-même mal configuré et exposé publiquement.

teamtnt

Les chercheurs de Microsoft ont découvert une image TeamTNT malveillante sur plusieurs clusters Azure Kubernetes Service (AKS) (AKS est un service Kubernetes qui permet aux clients de déployer facilement un cluster Kubernetes dans Azure). Ils ont ensuite examiné comment ces images pouvaient se déployer dans l’environnement AKS.

«Dans un tel scénario, il est moins probable que le service de l’API Docker soit exposé à Internet, car les nœuds AKS sont configurés avec la bonne configuration du serveur Docker», a déclaré la société dans un article. «Par conséquent, nous pouvons supposer que les attaquants avaient un vecteur d’accès différent lors de ces incidents. Lorsque nous avons recherché les déploiements courants des différents clusters Kubernetes infectés par cette image, nous avons remarqué qu’ils disposent tous d’un service Weave Scope ouvert. »

Les informations sur l’environnement victime sont présentées via un tableau de bord basé sur un navigateur qui offre une carte visuelle de l’environnement cloud d’exécution Docker. Ce tableau de bord peut également être utilisé pour donner des commandes shell, ce qui évite à TeamTNT d’exécuter du code sur le serveur lui-même.

Le groupe TeamTNT se spécialise dans l’attaque du cloud, généralement avec une image Docker malveillante et s’est avéré innovant. Fishbein a déclaré que ce dernier ensemble d’infections semble être la première fois qu’un outil aussi légitime est utilisé dans des attaques cloud. TeamTNT a également été précédemment documenté comme déployant des vers de vol d’informations d’identification uniques et rares dans AWS.

Comme pour la plupart des menaces cloud, une configuration appropriée des charges de travail et des services cloud afin qu’ils ne soient pas exposés à l’Internet ouvert peut contrecarrer ces attaques. Ainsi, Fishbein recommande aux entreprises de fermer tous les ports d’API Docker exposés ou au moins de restreindre l’accès via des politiques de pare-feu et de bloquer les connexions entrantes au port 4040, qui est le port utilisé par défaut par Weave Scope pour rendre le tableau de bord accessible.

«Étant donné que Weave Scope n’utilise aucune authentification par défaut, l’exposition de ce service à Internet pose un risque de sécurité sévère», selon Microsoft. «Et pourtant, nous voyons des administrateurs de cluster qui autorisent l’accès public à cette interface, ainsi qu’à d’autres services similaires. Les attaquants, y compris TeamTNT, profitent de cette mauvaise configuration et utilisent l’accès public pour compromettre les clusters Kubernetes. »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x