TeamTNT erweitert sein Arsenal mit Fokus auf Kubernetes und GPU-Umgebungen

Originalbeitrag von David Fiser, Alfredo Oliveira, Threat Researcher

TeamTNT war eine der ersten cyberkriminellen Hackergruppen, die es vor allem auf Cloud Service Provider (CSPs) abgesehen hatte, und zwar insbesondere auf deren Metadaten, die auf Elastic-Computing-Instanzen gespeichert sind. Wir stellten bereits dar, wie die Gruppe ungesicherte Redis-Instanzen, exponierte Docker-APIs und anfällige Kubernetes-Cluster angriffen, um Payloads für Kryptowährungs-Mining und den Diebstahl von Zugangsdaten zu verbreiten. Da die Metadaten von Instanzen und Benutzerdaten nicht authentifiziert oder verschlüsselt werden können, sollten Anwender das Speichern sensibler Daten in Metadatenfeldern vermeiden, einschließlich von Geheimnissen und CSP-bezogenen Vorautorisierungsdaten, die dann in anderen Diensten wie serverlosen Umgebungen verwendet werden können. Ist eine laufende Instanz, die von einem CSP-Kunden genutzt wird, nicht ordnungsgemäß konfiguriert oder weist eine Sicherheitslücke auf wie z. B. ungeschützte APIs oder geleakte Anmeldedaten, können böswillige Akteure diese Sicherheitslücken ausnutzen, um möglicherweise auf andere Dienste zuzugreifen.

Immer noch nutzt TeamTNT kompromittierte Cloud-Umgebungen aktiv für seine Kampagnen aus. Anhand einer neuen Reihe von Kampagnen-Samples haben wir die jüngsten Vorkommnisse untersucht und sie mit früheren Einsätzen verglichen. Es zeigt sich, dass die Kriminellen verbesserte Tools und Payloads einsetzen.

Das aufgerüstete Arsenal

Es fällt auf, dass die Samples aus den jüngsten TeamTNT-Kampagnen professioneller wirken als frühere Versionen. Die Samples zeigen deutliche Verbesserungen in der Art und Weise, wie die Hackergruppe auf falsch konfigurierte Amazon Web Services (AWS) oder Kubernetes-Dienste abzielt.

Deshalb ist es für Cloud-Nutzer wichtig, die Bedeutung des Modells der gemeinsamen Verantwortung zu verstehen. Anwender sind für die Sicherung der Daten, Plattformen, Anwendungen und Betriebssysteme verantwortlich, die sie innerhalb ihrer jeweiligen Cloud-Dienste ausführen. Daher müssen sie sich auch darüber bewusst sein, wie sie kritische Daten in der Cloud-Umgebung ablegen, so dass sie nicht ins Visier von böswilligen Akteuren geraten.

Die Angriffe von TeamTNT sind modularer geworden, anstatt All-in-One-Samples mit mehreren Funktionen einzusetzen. Sie haben einen definierten Umfang und verfügen über genau definierte Funktionen, was zeigt, dass die Gruppe einen gezielteren Ansatz für ihre Kampagnen gewählt hat.

Bild 1. Die typische Angriffskette von TeamTNT

Vor einiger Zeit beschrieben wir, wie TeamTNT ein fest codiertes Shell-Skript entwickelte, das auf Anmeldeinformationen von anfälligen AWS-Instanzen abzielte. Darüber hinaus verfeinerte TeamTNT seine Entwicklung von Tools speziell für eines seiner Hauptziele, Kubernetes. Dafür entstanden mehrere Payloads für verschiedene Kubernetes-Umgebungen, die mit geringfügigen Änderungen speziell an die infizierte Umgebung angepasst sind: Sie sind weniger generisch und damit weniger auffällig und sie ändern die Befehls- und Kontrolladressen, wenn sie aktualisiert werden.

Bild 2. Shodan-Daten zeigen einen deutlichen Rückgang der exponierten Docker-APIs von Ende 2020 bis 2021

Shodan-Daten zeigen, dass der Fokus von TeamTNT auf Kubernetes-Implementierungen sinnvoll ist, da die Anzahl der offenen und freigegebenen Docker-APIs abgenommen hat. Die Zahl der angreifbaren Kubernetes-APIs steigt dagegen seit Juni 2021. Im September 2021 erreichte die Zahl der gefährdeten Kubernetes-APIs sogar 161.993.

Bild 3. Shodan-Daten zeigen einen signifikanten Anstieg der offengelegten Kubernetes-APIs im Jahr 2021

TeamTNT erweitert auch den Fokus auf seine Mining-Hash-Rate, indem es seine Chancen erhöht, mit GPUs ausgestattete Geräte zu nutzen. Dafür entwickelten die Kriminellen Toolsets für mehrere GPU-Hersteller. Dies ist keine Überraschung, da der Gewinn aus dem Mining der Kryptowährung Monero immer geringer wird. Um die gleiche Menge an Monero zu schürfen, ist also ein größerer Beitrag (mit bereitgestellten Hashes) erforderlich. Einfach ausgedrückt: Je höher die Hash-Rate, desto höher der geschürfte Geldbetrag.

Schlussfolgerung und Sicherheitsempfehlungen

Da Unternehmen heute mehr denn je auf Cloud-Dienste angewiesen sind, werden Angriffe auf Cloud-Dienste in den kommenden Jahren wahrscheinlich allgegenwärtiger und raffinierter werden. Um Systeme und Dienste vor den sich entwickelnden Bedrohungen zu schützen, sollten sie strenge Sicherheitsrichtlinien erstellen, die das Modell der gemeinsamen Verantwortung und den Grundsatz der geringsten Privilegien befolgen. Es gehört auch zu einer guten Praxis, Metadaten zu verschlüsseln oder verschleierte oder anderweitig nicht sensible Metadaten zu verwenden, um sicherzustellen, dass kritische Daten sicher bleiben. AWS bietet ein detailliertes Beispiel für die Verschlüsselung von Metadaten mit dem AWS Glue Data Catalog und eine Auflistung der ITAR-kontrollierten Daten in Bezug auf jeden AWS-Service.

Unternehmen können auch davon profitieren, dass sie der kontinuierlichen Überwachung und Prüfung Priorität einräumen und ihre Systeme regelmäßig patchen und aktualisieren.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.