Хакеры используют инструмент облачного мониторинга для проникновения в среды Linux

Фото: Pixabay

Группировка хакеров TeamTNT использовала Weave Scope в качестве эффективного бэкдора в облачную сетевую инфраструктуру своих целей .Weave Scope - это надежный инструмент, который предоставляет пользователям полный доступ к их облачной среде и интегрирован с Docker , Kubernetes , распределенной облачной операционной системой (DC / OS) и AWS Elastic Compute Cloud (ECS). Однако хакеры незаконно развернули этот инструмент, чтобы составить карту окружения потенциальных жертв и выполнить системные команды без необходимости развертывания вредоносного кода. 

«Насколько нам известно, это первый случай, когда злоумышленники были пойманы с использованием законного стороннего программного обеспечения для нацеливания на облачную инфраструктуру», — сказала Николь Фишбейн, исследователь безопасности Intezer.— «В случае злоупотребления Weave Scope дает злоумышленнику полную видимость и контроль над всеми активами в облачной среде жертвы, выполняя роль бэкдора».

 «Установив законный инструмент, такой как Weave Scope, злоумышленники получают все преимущества, как если бы они установили бэкдор на сервере, с гораздо меньшими усилиями и без использования вредоносных программ», — добавляет она. 

Инструмент с открытым исходным кодом, разработанный Weave Works, обеспечивает мониторинг и визуализацию серверов Docker и Kubernetes, при этом пользователи получают полный контроль над инфраструктурой через панель управления, доступную через веб-браузер.

При успешном использовании злоумышленникам предоставляется доступ ко всей информации о серверной среде, а также возможность устанавливать приложения, устанавливать соединения между облачными рабочими нагрузками, а также запускать, останавливать или открывать интерактивные оболочки в контейнерах. 

Эта степень функциональности эквивалентна установке злоумышленником бэкдора на сервер со значительно меньшими усилиями и без использования вредоносных программ, добавила Фишбейн.

Чтобы установить Weave Scope, хакеру потребуется использовать открытый порт API Docker и создать новый привилегированный контейнер с чистым образом Ubuntu . Затем этот контейнер будет настроен для монтирования файловой системы контейнера к файловой системе сервера-жертвы и, следовательно, предоставления злоумышленникам доступа ко всем файлам на сервере. 

Первоначальная команда, по наблюдениям Intezer, заключалась в загрузке и выполнении нескольких майнеров. Затем злоумышленник попытался получить root-доступ к серверу, установив локального привилегированного пользователя на хост-сервере, используя его для обратного подключения через Secure Shell (SSH). Впоследствии злоумышленники загрузили и установили Weave Scope, который после запуска соединил киберпреступников с приборной панелью Weave Scope через HTTP на порт 4040.

На этой панели инструментов хакеры могут видеть визуальную карту облачной среды выполнения Docker и давать команды оболочки без развертывания какого-либо бэкдора. Это первый случай, когда злоумышленник, насколько известно Intezer, загрузил законное программное обеспечение, которое будет использоваться в качестве инструмента администрирования в операционной системе Linux, сообщает ITPro.

Фирма по кибербезопасности рекомендовала организациям закрыть все открытые порты API Docker, чтобы предотвратить первоначальное проникновение, поскольку эта атака использует распространенную неверную конфигурацию API Docker. Следовательно, все порты Docker API должны быть либо закрыты, либо содержать политики ограниченного доступа в брандмауэре.

Организации также должны блокировать входящие подключения к порту 4040, если Weave Scope использует это по умолчанию, чтобы сделать панель мониторинга доступной. Этот порт также должен быть закрыт или ограничен брандмауэром.

Как сообщал  Startpack, ранее миллионы сайтов на WordPress были атакованы через плагин с уязвимостью.