Zuhause > Cyber ​​Aktuelles > TeamTNT Cryptomining Operation stiehlt AWS-Anmeldeinformationen
CYBER NEWS

TeamTNT Cryptomining Operation stiehlt AWS-Anmeldeinformationen

Eine neu hinzugefügte Funktion in einem zuvor bekannten Cryptomining-Vorgang zielt auf AWS-Anmeldeinformationen ab, Laut einem Bericht der Sicherheitsfirma Cado Security.

Die Malware-Gruppe hinter dieser neuen Kampagne heißt TeamTNT, Eine Cybercrime-Gruppe, die auf Docker-Installationen abzielt. Laut Trend Micro Forscher, Diese Gruppe ist mindestens seit April aktiv.

TeamTNT Cybercrime Gang

TeamTNT-Kryptomining-Vorgänge durchsuchen normalerweise das Internet nach falsch konfigurierten Docker-Systemen, mit ihren Verwaltungs-APIs offengelegt und ohne Passwort. TeamTNT würde auf die API zugreifen, um Server innerhalb der Docker-Installation auszuführen und DDoS-Angriffe und Kryptominierer auszulösen. Dieses Verhalten ist bei solchen Angriffen nicht unsichtbar. Jedoch, Die neueste Ergänzung zu diesen Angriffen ist ziemlich einzigartig, da die Malware-Gruppe jetzt AWS stiehlt (Amazon Web Services) Referenzen, und zielt auch auf Kubernetes-Installationen ab.




Mit der neu hinzugefügten Funktion können die infizierten Server nach AWS-Anmeldeinformationen durchsucht werden. Falls die kompromittierten Docker- und Kubernetes-Systeme unter AWS ausgeführt werden, Die Malware-Gruppe würde nach suchen ~ / .aws / Anmeldeinformationen und ~ / .aws / config. Dann, Es würde die Dateien kopieren und auf seinen Befehls- und Kontrollserver hochladen.

Der Code zum Stehlen von AWS-Anmeldeinformationen ist relativ einfach. Bei der Ausführung werden die Standarddateien AWS .credentials und .config auf den Server des Angreifers hochgeladen, sayhi.bplace[.]Netto-“, der Bericht sagt.

Laut Cado Security, Der Wurm von TeamTNT enthält Code, der von einem anderen Wurm namens Kinsing kopiert wurde, Dies soll die Alibaba Cloud Security-Tools stoppen.

Verwandtschaft wurde von einer erfahrenen Hacking-Gruppe entwickelt und gestartet und gegen Webserver eingesetzt. Nach den verfügbaren Berichten, Die Malware zielt auf eine Docker-Sicherheitsanfälligkeit aufgrund einer Fehlkonfiguration des Dienstes ab. Der Angriff ist möglich, wenn die Webadministratoren Docker-Installationen nicht ordnungsgemäß gesichert haben, Schaffung einer Gelegenheit für die Angreifer.

Wie für die TeamTNT-Operation, Die Forscher vermuten, dass die Malware noch keine der gestohlenen AWS-Anmeldeinformationen verwendet hat. Offenbar, Die Forscher schickten eine Sammlung von Anmeldeinformationen an das TeamTNT C.&C-Server, Auf keines dieser Konten wurde jedoch zugegriffen, bevor der Bericht veröffentlicht wurde.

Jedoch, wann immer TeamTNT beschließt, die gestohlenen Anmeldeinformationen zu verwenden, Sie können entweder Kryptominierer installieren oder sie in unterirdischen Foren verkaufen.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Datenschutz-Bestimmungen.
Genau