TeamTNT erweitert Funktionalität für Credential-Diebstahl

Originalbeitrag von David Fiser, Threat Researcher, Alfredo Oliveira, Sr. Security Researcher

Guter Schutz für Geheimnisse ist ein entscheidender Faktor, um Systeme sicher zu halten und Supply-Chain-Angriffe zu verhindern. Böswillige Akteure haben es oft auf Geheimnisse in Speichermechanismen abgesehen und sammeln Anmeldeinformationen, die in kompromittierten Systemen zu finden sind. Nun kommen im Klartext gespeicherte Anmeldeinformationen, die auch ohne Benutzerinteraktion zugänglich sind, bei DevOps-Software nicht selten vor und stellen daher ein großes Sicherheitsrisiko dar. Böswillige Akteure sammeln immer wieder Cloud Service Provider (CSP)-Anmeldeinformationen, sobald sie in die Systeme ihrer Opfer eindringen konnten. Eine der cyberkriminellen Gruppen, die auf Cloud-Container abzielt, ist TeamTNT, die ihre Fähigkeiten auf den Diebstahl von Cloud-Anmeldedaten sowie die Erkundung anderer Umgebungen und intrusive Aktivitäten ausgeweitet hat.

In der neuesten Angriffsroutine der Gruppe fanden wir neue Beweise dafür, dass TeamTNT seine Fähigkeiten zum Sammeln von Anmeldeinformationen weiter ausgebaut hat, um nach einer Kompromittierung mehrere Cloud- und Nicht-Cloud-Dienste in den internen Netzwerken und Systemen der Opfer anzugreifen.

Mittlerweile hat die Gruppe zwischen März und Mai dieses Jahres fast 50.000 IPs kompromittiert und Kubernetes-Cluster angegriffen, stellten die Sicherheitsforscher von Trend Micro fest. Einzelheiten im Blogbeitrag.

Technische Analyse

Bild. Der Infektionsablauf beim Sammeln von Credentials durch TeamTNT

Die Malware von TeamTNT ist darauf ausgelegt, Anmeldeinformationen von bestimmter Software und aus Diensten zu sammeln. Sie infiziert Linux-Rechner mit Lücken wie freiliegenden privaten Schlüsseln und recycelten Passwörtern und konzentriert sich darauf, die infizierten Systeme auf Cloud-bezogene Dateien zu überprüfen.

Wie bei den anderen Angriffen der Gruppe ermöglichen Cloud-Fehlkonfigurationen und wiederverwendete Kennwörter einen einfachen Zugang zu einem Opfersystem. Und wie schon zuvor erbeutet die Gruppe Anmeldeinformationen für Secure Shell (SSH) und Server Message Block (SMB), um Zugriff auf andere Systeme zu erhalten. Beide Techniken des Eindringens machen es möglich, ihre jeweilige Payload wurmartig zu verbreiten. Wir haben mehrere Skripts für diese Funktion gefunden (um die Verbreitung der Payloads in verschiedenen Umgebungen sicherzustellen), von denen wir eines bereits dokumentiert hatten. Technische Einzelheiten zu den Angriffen finden Interessierte im Originalbeitrag.

Fazit

Böswillige Akteure suchen in internen Netzwerken und Systemen aktiv nach den Anmeldeinformationen legitimer Benutzer, um ihre Aktivitäten nach dem Eindringen zu erleichtern. Wenn sie im Besitz von CSP-Anmeldedaten sind, können sie die von legitimen Unternehmen bezahlten Cloud-Dienste für andere bösartige Aktivitäten nutzen. Gestohlene Zugangsdaten für Versionskontrollsoftware wie die quelloffene Git stellen ebenfalls ein erhebliches Sicherheitsrisiko dar, einschließlich Kompromittierung der Supply Chain, da es sehr wahrscheinlich ist, dass ein böswilliger Benutzer auch über Schreibrechte in Repositories verfügt und daher unbemerkt Quellcodeänderungen vornehmen kann.

Darüber hinaus sind im Klartext gespeicherte Anmeldedaten eine Goldgrube für Cyberkriminelle, insbesondere da sie für nachfolgende Angriffe verwendet werden können. Erbeutete FTP-Anmeldedaten können beispielsweise zum Hacken von Websites oder zur Änderung von Anmeldedaten führen, gefolgt von Lösegeldforderungen. Das Gleiche gilt für Schwachstellen, insbesondere für solche in ungepatchten oder anderweitig ungesicherten Systemen, die im Internet exponiert sind.

Um die Risiken bezüglich der TeamTNT-Routine und anderer ähnlicher Bedrohungen zu mindern, wird Kunden empfohlen, die von ihren CSPs angebotenen geheimen Tresore zu nutzen und diese Best Practices zu befolgen:

  • Anwenden des  Prinzips der Mindestprivilegien  und des Shared Responsibility Models.
  • Ersetzen der Standard-Anmeldeinformationen mit starken und sicheren Passwörtern, sowie sicherstellen, dass die Einstellungen der verschiedenen Systemumgebungen an die Bedürfnisse der Organisation angepasst sind.
  • Anmeldeinformationen nie in Klartext speichern und, wenn möglich, Mehrfaktorauthentifizierung einsetzen.
  • Regelmäßiges Updaten und Patchen von Systemen. Erwägen Sie die Anpassung von Anmeldeinformationen und das Patchen von Front-End-Systemen, um sicherzustellen, dass keine Lücken für bösartige Aktivitäten missbraucht werden können.

Trend Micro-Lösungen

Cloud-spezifische Sicherheitslösungen wie Trend Micro™ Hybrid Cloud Security können zum Schutz von Cloud-nativen Systemen und ihren verschiedenen Schichten beitragen.  Unterstützt wird sie von Trend Micro Cloud One™ , einer Sicherheitsdienste-Plattform für Cloud-Entwickler. Sie bietet automatisierten Schutz für die CI/CD-Pipeline und Anwendungen.  Sie trägt auch dazu bei, Sicherheitsprobleme früher zu erkennen und zu lösen und die Lieferzeit für die DevOps-Teams zu verkürzen. Die Plattform umfasst:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.