Eine neu hinzugefügte Funktion in einem zuvor bekannten Cryptomining-Vorgang zielt auf AWS-Anmeldeinformationen ab, Laut einem Bericht der Sicherheitsfirma Cado Security.
Die Malware-Gruppe hinter dieser neuen Kampagne heißt TeamTNT, Eine Cybercrime-Gruppe, die auf Docker-Installationen abzielt. Laut Trend Micro Forscher, Diese Gruppe ist mindestens seit April aktiv.
TeamTNT Cybercrime Gang
TeamTNT-Kryptomining-Vorgänge durchsuchen normalerweise das Internet nach falsch konfigurierten Docker-Systemen, mit ihren Verwaltungs-APIs offengelegt und ohne Passwort. TeamTNT würde auf die API zugreifen, um Server innerhalb der Docker-Installation auszuführen und DDoS-Angriffe und Kryptominierer auszulösen. Dieses Verhalten ist bei solchen Angriffen nicht unsichtbar. Jedoch, Die neueste Ergänzung zu diesen Angriffen ist ziemlich einzigartig, da die Malware-Gruppe jetzt AWS stiehlt (Amazon Web Services) Referenzen, und zielt auch auf Kubernetes-Installationen ab.
Mit der neu hinzugefügten Funktion können die infizierten Server nach AWS-Anmeldeinformationen durchsucht werden. Falls die kompromittierten Docker- und Kubernetes-Systeme unter AWS ausgeführt werden, Die Malware-Gruppe würde nach suchen ~ / .aws / Anmeldeinformationen und ~ / .aws / config. Dann, Es würde die Dateien kopieren und auf seinen Befehls- und Kontrollserver hochladen.
“Der Code zum Stehlen von AWS-Anmeldeinformationen ist relativ einfach. Bei der Ausführung werden die Standarddateien AWS .credentials und .config auf den Server des Angreifers hochgeladen, sayhi.bplace[.]Netto-“, der Bericht sagt.
Laut Cado Security, Der Wurm von TeamTNT enthält Code, der von einem anderen Wurm namens Kinsing kopiert wurde, Dies soll die Alibaba Cloud Security-Tools stoppen.
Verwandtschaft wurde von einer erfahrenen Hacking-Gruppe entwickelt und gestartet und gegen Webserver eingesetzt. Nach den verfügbaren Berichten, Die Malware zielt auf eine Docker-Sicherheitsanfälligkeit aufgrund einer Fehlkonfiguration des Dienstes ab. Der Angriff ist möglich, wenn die Webadministratoren Docker-Installationen nicht ordnungsgemäß gesichert haben, Schaffung einer Gelegenheit für die Angreifer.
Wie für die TeamTNT-Operation, Die Forscher vermuten, dass die Malware noch keine der gestohlenen AWS-Anmeldeinformationen verwendet hat. Offenbar, Die Forscher schickten eine Sammlung von Anmeldeinformationen an das TeamTNT C.&C-Server, Auf keines dieser Konten wurde jedoch zugegriffen, bevor der Bericht veröffentlicht wurde.
Jedoch, wann immer TeamTNT beschließt, die gestohlenen Anmeldeinformationen zu verwenden, Sie können entweder Kryptominierer installieren oder sie in unterirdischen Foren verkaufen.