Um ator mal-intencionado foi associado a uma campanha de roubo de credenciais na nuvem em junho de 2023, focada nos serviços do Azure e do Google Cloud Platform (GCP), marcando a expansão do adversário ao mirar além dos serviços da Amazon Web Services (AWS).
As descobertas vêm da SentinelOne e Permiso, que disseram que as "campanhas compartilham similaridade com as ferramentas atribuídas à notória equipe de criptojacking TeamTNT", embora tenham enfatizado que "a atribuição continua desafiadora com ferramentas baseadas em scripts".
Elas também se sobrepõem com uma campanha contínua da TeamTNT revelada pela Aqua chamada Silentbob, que explora serviços de nuvem mal configurados para soltar malware como parte do que se diz ser um esforço de teste, enquanto também liga ataques SCARLETEEL ao ator da ameaça, citando semelhanças na infraestrutura.
"A TeamTNT está digitalizando credenciais em vários ambientes de nuvem, incluindo AWS, Azure e GCP", observou a Aqua.
Os ataques, que visam instâncias Docker voltadas para o público para implantar um módulo de propagação semelhante a um verme, são uma continuação de um conjunto de intrusões que anteriormente miravam cadernos Jupyter em dezembro de 2022.
Foram descobertas até oito versões incrementais do script de coleta de credenciais entre 15 de junho de 2023 e 11 de julho de 2023, indicando uma campanha em constante evolução.
As versões mais recentes do malware são projetadas para coletar credenciais do AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL e SMB.
As credenciais coletadas são então exfiltradas para um servidor remoto sob o controle do ator da ameaça.
A SentinelOne disse que a lógica de coleta de credenciais e os arquivos visados são semelhantes a uma campanha direcionada ao Kubelet realizada pela TeamTNT em setembro de 2022.
Junto com o malware de script de shell, o ator da ameaça também foi observado distribuindo um binário ELF baseado em Golang que atua como um scanner para propagar o malware para alvos vulneráveis.
O binário adicionalmente solta uma utilidade de escaneamento de rede Golang chamada Zgrab.
"Esta campanha demonstra a evolução de um ator de nuvem experiente familiarizado com muitas tecnologias", disseram os pesquisadores de segurança Alex Delamotte, Ian Ahl e Daniel Bohannon.
"A meticulosa atenção aos detalhes indica que o ator claramente passou por muitas tentativas e erros."
"Esse ator está ativamente ajustando e melhorando suas ferramentas.
Com base nas modificações observadas nas últimas semanas, é provável que o ator esteja se preparando para campanhas em maior escala."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...