Gusano AWS Cryptojacking se propaga a través de la nube

El gusano minero de criptomonedas  conocido como TeamTNT se está propagando a través de la nube de Amazon Web Services (AWS) y está recopilando credenciales. Una vez que se recolectan los inicios de sesión, el malware inicia sesión e implementa la herramienta de minería XMRig para extraer la criptomoneda Monero.

Según los investigadores de Cado Security, el gusano también despliega una serie de malware y herramientas de seguridad ofensivas disponibles abiertamente, incluyendo “punk.py”, una herramienta de post-explotación SSH; una herramienta de limpieza de troncos; el rootkit de Diamorfina; y la puerta trasera del IRC Tsunami.

Según los investigadores de Cado Security, el gusano también despliega una serie de malware y herramientas de seguridad ofensivas disponibles abiertamente, incluyendo “punk.py”, una herramienta de post-explotación SSH; una herramienta de limpieza de troncos; el rootkit de Diamorfina; y la puerta trasera del IRC Tsunami.

Es, dijeron, la primera amenaza observada en la naturaleza que se dirige específicamente a AWS con fines de criptojacking. 

«El gusano también roba las credenciales locales y escanea Internet en busca de plataformas Docker mal configuradas», según una publicación del lunes. «Hemos visto a los atacantes … poner en peligro varios sistemas Docker y Kubernetes».

A medida que más empresas adoptan entornos de nube y contenedores, se ha abierto una nueva superficie de ataque para los ciberdelincuentes a través de una configuración incorrecta. Dicho esto, las amenazas de criptominería que apuntan a Docker y Kubernetes no son nuevas. Los atacantes continúan buscando servidores Docker / Kubernetes abiertos y de acceso público de manera automatizada y luego los explotan para configurar sus propios contenedores y ejecutar malware en la infraestructura de la víctima.

Por lo general, ese malware es un criptominer de algún tipo, como se vio en abril en una campaña de minería de Bitcoin utilizando el malware Kinsing. A veces, la amenaza está más evolucionada, como se vio en julio, cuando se vio una nueva puerta trasera de Linux llamada Doki infestando los servidores Docker para preparar el escenario para cualquier cantidad de ataques basados ​​en malware, desde denegación de servicio / sabotaje hasta exfiltración de información y ransomware. 

Sin embargo, el enfoque en AWS en este último conjunto de campañas, que también fueron señaladas por MalwareHunterTeam, es único, dijeron los investigadores de Cado.

Atacando AWS

El ataque comienza apuntando a la forma en que AWS almacena las credenciales en un archivo no cifrado en ~ / .aws / credentials, y detalles de configuración adicionales en un archivo en ~ / .aws / config.

«El código para robar las credenciales de AWS es relativamente sencillo: en la ejecución, carga las credenciales y los archivos de configuración predeterminados de AWS en el servidor de los atacantes, sayhi.bplace [.] Net», explicaron los investigadores. «Curl se utiliza para enviar las credenciales de AWS al servidor de TeamTNT».

Curiosamente, aunque el script está escrito para ser un gusano, la parte automatizada del ataque no pareció estar en pleno funcionamiento durante el análisis de la empresa de seguridad.

«Enviamos las credenciales creadas por CanaryTokens.org a TeamTNT, sin embargo, todavía no las hemos visto en uso», según la publicación. «Esto indica que TeamTNT evalúa y usa manualmente las credenciales o cualquier automatización que hayan creado no está funcionando actualmente».

El script que ancla el gusano de TeamTNT es un código reutilizado del malware Kinsing mencionado anteriormente, dijeron los investigadores, que originalmente se usó para buscar API de Docker mal configuradas, luego activar imágenes de Docker e instalarse. Agregaron que copiar código de otras herramientas es común en esta área del ciberdelito.

“A su vez, es probable que veamos que otros gusanos también comienzan a copiar la capacidad de robar archivos de credenciales de AWS”, dijeron. «Si bien estos ataques no son particularmente sofisticados, los numerosos grupos que implementan gusanos de criptojacking logran infectar grandes cantidades de sistemas comerciales».

TeamTNT – Es dinamita

En cuanto a la atribución, TeamTNT se anuncia en numerosas referencias dentro del código del gusano, según los investigadores, además el grupo utiliza un dominio llamado teamtnt [.] Red. Ese dominio aloja malware y la página de inicio se titula «TeamTNT RedTeamPentesting».

TeamTNT ha sido prolífico y fue visto originalmente a principios de año. En abril, Trend Micro observó cómo el grupo atacaba los contenedores de Docker.

Un examen de Cado de uno de los grupos de minería que proporciona información sobre los sistemas que el gusano con capacidad de AWS ha comprometido mostró que, para el grupo, había 119 sistemas comprometidos en AWS, clústeres de Kubernetes y servidores de compilación de Jenkins.

“Hasta ahora hemos visto dos carteras Monero diferentes asociadas con estos últimos ataques, que le han valido a TeamTNT alrededor de tres XMR”, explicaron los investigadores. «Eso equivale a solo unos $ 300, sin embargo, esta es solo una de sus muchas campañas».

Los investigadores de Cado sugirieron que para frustrar tales ataques, las empresas deberían identificar qué sistemas están almacenando archivos de credenciales de AWS y eliminarlos si no son necesarios. Además, revise el tráfico de red en busca de conexiones a grupos de minería o aquellos que envían el archivo de credenciales de AWS a través de HTTP; y use reglas de firewall para limitar cualquier acceso a las API de Docker.