Hakerzy z TeamTNT znowu atakują

Informatycy z firmy Trend Micro donoszą, że wykryli nowy botnet wykradający dane uwierzytelniające użytkowników, korzystających z chmury AWS oraz z usług kontenerów Docker. Po przeanalizowaniu tego zagrożenia informatycy uważają, że jego twórcą są hakerzy należący do znanej już grupy TeamTNT.

Malware

Hakerzy ze wspomnianej grupy dali się poznać latem zeszłego roku, przeprowadzając ataki na źle skonfigurowane systemy, zapewniające dostęp do chmury AWS, a następnie wykradając z nich kryptowaluty. Stworzone przez hakerów narzędzie najpierw skanowało internet w poszukiwaniu słabo zabezpieczonych i źle skonfigurowanych systemów, a po namierzeniu takiego systemu instalowało w nim oprogramowanie zdolne przeprowadzać ataki DDoS oraz kopać kryptowaluty.

Tym razem hakerzy atakują w ten sposób również kontenery Docker obsługiwane przez chmurę AWS, wykorzystując do tego celu szkodliwe oprogramowanie nowszej generacji, do którego wprowadzili kilka nowych rozwiązań oraz narzędzi.

Zobacz również:

W porównaniu z wcześniejszymi atakami, te przeprowadzane obecnie są dopracowane w najdrobniejszych szczegółach, a złośliwy kod jest bardzo dobrze napisany i nie zawiera błędów, które łatwo było dostrzec we wcześniejszych atakach.

Dlatego informatycy apelują do administratorów dopowiadających za bezpieczeństwo systemów IT aby sprawdzili, czy dostęp z zewnątrz do interfejsów API zarządzających kontenerami Docker, jest wyłączony. Powinien on być wyłączony nawet wtedy, gdy interfejs jest chroniony przy użyciu bardzo silnego hasła. Okazuje się bowiem, że nawet takie hasło nie gwarantuje mu bezpieczeństwa.

Jeśli jednak system wymaga tego, aby interfejsy takie były wystawione i widoczne dla podmiotów z zewnątrz , to powinny być chronione przez bardzo silną zaporę ogniową. Powinna to być zapora korzystającą z listy wyszczególniającej dokładnie użytkowników, którzy mają prawo dostępu do takich interfejsów.


TOP 200