Фахівці компанії Intezer виявили першу в світі атаку на хмарне середовище з використанням легітимних інструментів.
Кіберзлочинність угруповання TeamTNT використовує легітимний інструмент для забезпечення видимості і управління скомпрометованими хмарними середовищами. Раніше угрупування атакувала системи Docker і Kubernetes за допомогою хробака для пошуку і викрадення локальних облікових даних, в тому числі для авторизації в AWS. На скомпрометовані машини зловмисники встановлювали майнер криптовалют. Однак в недавніх атаках вони більше не користувалися хробаком, а створювали карту хмарного середовища і запускали команди за допомогою легітимного інструменту Weave Scope.
Weave Scope представляє собою інструмент для візуалізації та моніторингу Docker і Kubernetes, розподілених хмарних операційних систем (DC/OS) і AWS Elastic Compute Cloud (ECS).
За словами фахівців Intezer, угруповання TeamTNT починає атаку з розміщення в Docker Hub шкідливого способу Docker, а також використовує майнер криптовалют і шкідливі скрипти. Через відкритий порт Docker API зловмисники створюють новий привілейований контейнер, в якому запущений “чистий” образ Ubuntu. Вони налаштовують контейнер так, щоб його файлова система була підключена до файлової системи сервера жертви, і таким чином отримують доступ до файлів на сервері.
Потім зловмисники дають контейнеру команду завантажити і запустити майнер криптовалют, після чого намагаються підвищити свої привілеї до суперкористувача шляхом створення локального привілейованого користувача “hilde” на хост-сервері і підключення через нього по SSH.
Далі для управління хмарним середовищем жертви завантажується і встановлюється інструмент Weave Scope. Його панель управління відображає візуальну карту інфраструктури Docker і дозволяє атакуючим запускати команди оболонки без необхідності встановлювати шкідливе ПЗ.
“Такий сценарій не просто надзвичайно рідкісний. Наскільки нам відомо, це перший випадок завантаження зловмисниками легітимного ПЗ з метою використання його як інструменту адміністрування операційної системи на базі Linux”, – повідомили фахівці.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як заблокувати небажаний контакт у Facebook? – ІНСТРУКЦІЯ
Як зупинити відстеження небажаними програмами Вашої точної геолокації? ІНСТРУКЦІЯ
Нове сімейство троянських шкідливих програм виявили фахівці з кібербезпеки. Загроза поширюється через шкідливі торенти та використовує численні прийоми, щоб отримати якомога більше криптовалюти від жертв, та при цьому уникнути виявлення.
Також компанії Apple і Google оголосили, що в майбутніх версіях операційних систем iOS і Android буде реалізована система відстеження поширення COVID-19, для використання якої раніше була потрібна установка окремого додатка.
Зверніть увагу, як з’ясували фахівці компанії Palo Alto Networks, найчастіше зловмисники імітують сайти Microsoft, Facebook, Netflix, PayPal, Apple, Royal Bank of Canada, LinkedIn, Google, Apple iCloud, Bank of America, Dropbox, Amazon і Instagram.
До речі, Apple випадково дозволила шкідливій програмі Shlayer працювати на macOS. Шкідливе ПЗ було замасковано під оновлення для Adobe Flash Player і пройшло необхідну верифікацію в Mac App Store.
Співробітники Mozilla провели нове дослідження, яке підтвердило, що історія переглядів браузера дозволяє ідентифікувати користувачів. Вони з’ясували, що більшість користувачів слідують звичними схемами перегляду веб-сторінок, і це дозволяє онлайн-рекламодавцям створювати їх точні профілі.
