Hjem > Cyber ​​Nyheder > TeamTNT Cryptomining Operation stjæler AWS -legitimationsoplysninger
CYBER NEWS

TeamTNT-kryptomineringsoperation stjæler AWS-legitimationsoplysninger

En nyligt tilføjet funktion i en tidligere kendt cryptomining-operation er målrettet mod AWS-legitimationsoplysninger, ifølge en rapport fra sikkerhedsfirmaet Cado Security.

Malware-gruppen bag denne nye kampagne kaldes TeamTNT, en cyberkriminalitetsgruppe, der har været målrettet mod Docker-installationer. Ifølge TrendMicro forskere, denne gruppe har været aktiv mindst i april.

TeamTNT Cybercrime Gang

TeamTNT-kryptomineringsoperationer scanner normalt internettet for forkert konfigurerede Docker-systemer, med deres administrations-API'er udsat og mangler en adgangskode. TeamTNT ville få adgang til API'en til at køre servere inde i Docker-installationen for at starte DDoS-angreb og kryptominere. Denne opførsel ses ikke i sådanne angreb. Men, den seneste tilføjelse til disse angreb er temmelig unik, da malware-gruppen nu stjæler AWS (Amazon Web Services) legitimationsoplysninger, og er også målrettet mod Kubernetes-installationer.




Den nyligt tilføjede funktion er i stand til at scanne de inficerede servere efter AWS-legitimationsoplysninger. I tilfælde af at de kompromitterede Docker- og Kubernetes-systemer kører på AWS, malware-gruppen ville søge efter ~ / .Aws / legitimationsoplysninger og ~ / .Aws / config. Derefter, det ville kopiere og uploade filerne på sin kommando-og-kontrol-server.

Koden til at stjæle AWS-legitimationsoplysninger er relativt ligetil - ved udførelse uploader den standard AWS .credentials og .config-filer til angribernes server, sayhi.bplace[.]netto“, rapporten siger.

Ifølge Cado Security, TeamTNTs orm indeholder kode, der er kopieret fra en anden orm ved navn Kinsing, som er designet til at stoppe Alibaba Cloud Security værktøjer.

Kinsing blev udviklet og lanceret af en erfaren hackinggruppe og sat mod webservere. I henhold til de tilgængelige rapporter, malware er målrettet mod en Docker-sårbarhed på grund af en forkert konfiguration af tjenesten. Angrebet er muligt, når webadministratorerne ikke har kunnet sikre Docker-installationer korrekt, skabe en mulighed for angriberen.

Hvad angår TeamTNT-operationen, forskerne har mistanke om, at malware stadig ikke har brugt nogen af ​​de stjålne AWS-legitimationsoplysninger. Tilsyneladende, forskerne sendte en samling af legitimationsoplysninger til TeamTNT C&C server, men ingen af ​​disse konti er blevet åbnet, før deres rapport blev frigivet.

Men, hver gang TeamTNT beslutter at bruge de stjålne legitimationsoplysninger, de kan enten installere kryptominere eller sælge dem på underjordiske fora.

Milena Dimitrova

En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Fortrolighedspolitik.
Jeg er enig