セキュリティ研究者は、設定不備のサーバーを狙って探索する脅威アクターを確認したことを受け、悪名高いTeamTNTグループがクラウドネイティブ環境に対する大規模な新キャンペーンを準備している可能性があると警告した。
Aqua Securityは、自社のハニーポットの1つに対する攻撃を検知した後、調査を開始した。その後、4つの悪意あるコンテナイメージを発見した。しかし、一部のコード機能が未使用のままで、手動テストが行われている形跡もあったことから、研究者らは、このキャンペーンはまだ完全には開始されていないと推測している。
同社は「このインフラはテストと展開の初期段階にあり、主に攻撃的なクラウドワームで構成されている。露出したJupyterLabおよびDocker APIに展開するよう設計されており、Tsunamiマルウェアの展開、クラウド認証情報の乗っ取り、リソースの乗っ取り、そしてワームのさらなる感染拡大を目的としている」と主張した。
「私たちは、この新キャンペーンの背後にTeamTNTがいると強く信じている。」
TeamTNTについて詳しく読む: TeamTNTの攻撃はクラウドガバナンスの必要性を浮き彫りにする
TeamTNTは、クラウドベースのシステム、特にDockerおよびKubernetes環境に対する攻撃的な攻撃で知られる、活動の多いサイバー犯罪グループだ。暗号資産マイニングを得意としているが、時間の経過とともに他の悪意ある活動も取り込むよう進化してきた。
TeamTNTは2021年後半に活動を停止したように見えたものの、Aqua Securityは、同グループが常用していたTsunamiマルウェア、dAPIpwn関数の使用、そしてドイツ語で応答するC2サーバーを根拠に、新キャンペーンを同グループに結び付けた。
研究者らは「高度な模倣犯」の可能性も排除していない。ただし、その場合でもTeamTNTのコードを模倣できる同等に高度なグループであり、「独特のユーモアのセンス」と「オランダ語への親和性」を持つ必要があるという。
Aqua Securityが確認した新たな脅威活動は、脅威アクターが設定不備のDocker APIまたはJupyterLabサーバーを特定し、コンテナを展開するか、コマンドラインインターフェース(CLI)を用いて追加の被害者をスキャンして特定するところから始まる。
「このプロセスは、マルウェアをより多くのサーバーへ拡散させるよう設計されている」と、ブログ投稿は述べている。「この攻撃の二次ペイロードには暗号資産マイナーとバックドアが含まれており、後者は選択する武器としてTsunamiマルウェアを用いている。」
Aqua Securityは、組織がこの脅威を軽減するのに役立つ推奨事項の一覧を公開した。
翻訳元: https://www.infosecurity-magazine.com/news/experts-impending-teamtnt-docker/
