Weave Scope ahora está siendo explotado en ataques contra entornos de nube

TeamTNT abusa de la herramienta Weave Scope para apuntar a la infraestructura de la nube.

En el pasado, se ha observado que varios grupos de ciberdelincuentes experimentados utilizan herramientas legítimas, como las utilidades del sistema operativo, para llevar a cabo sus ataques. Sin embargo, recientemente, un grupo de piratería denominado TeamTNT abusó de una herramienta legítima de terceros, Weave Scope, para apuntar a la infraestructura de la nube, por primera vez.

Explotando herramientas

Los investigadores de Intezer descubrieron que el grupo de ciberdelincuentes TeamTNT utilizó la herramienta Weave Scope para obtener una visibilidad total y tomar el control de todos los activos en la infraestructura en la nube de la víctima.

Con Weave Scope, los atacantes podrían ejecutar comandos del sistema sin implementar código malicioso en el servidor de la víctima, lo que básicamente funciona como una verdadera entrada por la puerta trasera.

La herramienta puede permitir a los atacantes obtener acceso completo a Docker, Kubernetes, el sistema operativo distribuido en la nube (DC / OS) y AWS Elastic Compute Cloud (ECS), incluida toda la información y metadatos sobre contenedores, procesos y hosts.

¿Cómo funciona?

El atacante utiliza un puerto Docker expuesto para crear un nuevo contenedor privilegiado con una imagen limpia de Ubuntu, que está configurada para montarse en el servidor de la víctima. 

Luego, el atacante intenta obtener acceso de root configurando un usuario privilegiado local en el servidor host y aprovechándolo para instalar Weave Scope. Tras la instalación, los atacantes pueden conectarse al panel de Weave Scope a través de HTTP en el puerto 4040 para tomar el control de la infraestructura de destino.

Ataques recientes de TeamTNT

TeamTNT ha ido evolucionando con el tiempo y se ha observado que adopta nuevas tácticas en sus ataques recientes.

En agosto, TeamTNT se convirtió en el primer grupo en agregar funcionalidad específica de AWS para robar credenciales locales y escanear Internet en busca de plataformas Docker mal configuradas.

Identificado por primera vez en mayo , el minero de criptomonedas malicioso TeamTNT y el bot DDoS tenían como objetivo los puertos abiertos del demonio Docker.

TeamTNT se ha centrado principalmente en las instalaciones de Docker y otros tipos de infraestructura en la nube. La configuración precisa y correcta de las cargas de trabajo y los servicios en la nube puede ayudar a los usuarios a prevenir muchos ataques. Para mitigar los ataques, se recomienda a los usuarios que cierren los puertos API de Docker expuestos, bloqueen las conexiones entrantes al puerto 4040 y protejan sus contenedores y servidores en la nube Linux en tiempo de ejecución contra código no autorizado.