Kriminelle TeamTNT-Kampagnen verdeutlichen Stellenwert der Cloud-Sicherheit

Originalartikel von Trend Micro Research

Die Gruppe TeamTNT ist wahrscheinlich bereits seit 2011 aktiv, blieb aber viele Jahre lang unter dem Radar, bevor sie dann 2020 ins Licht der Öffentlichkeit trat. Im vergangenen Jahr startete die Gruppe einige erste Kampagnen, darunter eine Reihe von Kryptowährungs-Mining- und Distributed-Denial-of-Service (DDoS)-Angriffen auf Docker-Daemon-Teile und eine, bei der sie einen DDoS-fähigen IRC (Internet Relay Chat)-Bot einsetzte. Anfang 2021 steigerte sich die Gruppe mit einer Reihe neuer Kampagnen, die auf verschiedene Cloud-Dienste abzielten. Dabei setzten die Kriminellen Tools und Techniken wie bösartige Shell-Skripts und andere Software zum Abfangen von Anmeldedaten ein, um Cloud-Anmeldedaten zu stehlen. TeamTNT sticht nicht nur aufgrund seiner Ziele hervor – in erster Linie Cloud-basierte Software und Dienstleistungen -, sondern auch durch die Geschwindigkeit, mit der die Gruppe bestehende Techniken weiterentwickelt und neue in ihre Kampagnen integriert hat.

Bild 1. Ein von TeamTNT genutzter typischer Infektionsablauf

Dennoch ist bei den meisten Kampagnen der Gruppe die Einbruchsmethode mehr oder weniger einheitlich: Sie setzt eine Reihe von Tools ein, um das Internet nach potenziellen Zielen mit Fehlkonfigurationen und Schwachstellen zu durchsuchen, und nutzt diese Lücken aus, um in den Systemen Fuß zu fassen. TeamTNT ist darauf spezialisiert, auswertbare Sicherheitslücken zu finden, seien es ungesicherte Redis-Instanzen, ungeschützte Docker-APIs, anfällige Internet-of-Things (IoT)-Geräte oder geleakte Anmeldedaten.

Für ein Opferunternehmen können die Payloads der Gruppe, wenn sie erfolgreich eingesetzt werden, im besten Fall störend sein – wie bei Kryptowährungs-Minern – und im schlimmsten Fall schwere finanzielle Verluste und sogar Rufschädigung verursachen – vor allem, wenn es der Gruppe gelingt, Anmeldedaten und andere sensible Informationen aus dem Unternehmen zu exfiltrieren.

Umgang mit Fehlkonfigurationen und anderen Sicherheitsproblemen

TeamTNT war vor allem wegen verschiedener Sicherheitslücken, die sie missbrauchen konnten, erfolgreich. Auch wenn es zugegebenermaßen schwierig ist, diese vollständig zu beseitigen, müssen Unternehmen der Sicherheit so weit wie möglich Vorrang einräumen. Sie sollten die wirksamsten Strategien zum Schutz der Cloud vor externen Angriffen umsetzen und gleichzeitig darauf achten, für welche Aspekte des Modells der geteilten Verantwortung (Shared Responsibility Model) sie zuständig sind.

Auch gibt es einige Best Practices, die Unternehmen befolgen sollten:

  • Gewähren Sie Nutzern nur für die Teile des Systems Zugriff, für die sie einen solchen benötigen. Damit reduzieren Sie mögliche Eintrittspunkte und halten den Schaden in Grenzen, sollte einmal ein Angriff Erfolg haben. Diese Taktik ist unter dem Namen des Prinzips der Mindestprivilegien bekannt.
  • Implementieren Sie die Authentifizierung mit privaten Schlüsseln für Secure Shell (SSH) für Clients, um die Sicherheit der Zugriffskontrolle zu erhöhen.
  • Patchen Sie Systeme und Geräte regelmäßig und aktualisieren Sie sie, um die Ausnutzung von Sicherheitslücken zu minimieren. Unternehmen, die für die Implementierung von Patches Zeit benötigen, können sich mit virtuellem Patching einen Zeitpuffer verschaffen, um ihre Systeme vor Schwachstellen zu schützen, während die Updates noch vorbereitet werden.

Zudem können sich Unternehmen mit Lösungen wie die Trend Micro Cloud One™-Plattform schützen, die auf Cloud-native Systeme zugeschnitten ist und Continuous-Integration- und Continuous-Delivery (CI/CD)-Pipelines und -Anwendungen schützt. Die Plattform umfasst:

  • Workload Security: Schutz für Workloads zur Laufzeit
  • Container Security: automatisiertes Scanning von Container Image und Registry
  • File Storage Security: Sicherheit für Speicherdienste für Cloud-Dateien und Objekte
  • Network Security: Cloud-Netzwerkschicht für Intrusion Prevention System (IPS)-Sicherheit
  • Application Security: Sicherheit für serverlose Funktionen, APIs und Applikationen
  • Conformity: Echtzeit-Sicherheit für Cloud-Infrastrukturen — sichern, optimieren, Compliance

Weitere Einzelheiten zu den böswilligen Aktivitäten der Gruppe beinhaltet das Whitepaper „Activities of TeamTNT: A Closer Look at a Cloud-Focused Malicious Actor Group“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.