Una característica recientemente agregada en una operación de criptominería conocida anteriormente tiene como objetivo las credenciales de AWS, según un informe de la empresa de seguridad Cado Security.
El grupo de malware detrás de esta nueva campaña se conoce como TeamTNT, un grupo de ciberdelincuencia que se ha dirigido a las instalaciones de Docker. De acuerdo con investigadores de TrendMicro, este grupo ha estado activo al menos desde abril.
TeamTNT Cybercrime Gang
Las operaciones de criptominería de TeamTNT generalmente escanean Internet en busca de sistemas Docker mal configurados, con sus API de administración expuestas y sin contraseña. TeamTNT accedería a la API para ejecutar servidores dentro de la instalación de Docker para iniciar ataques DDoS y criptomineros. Este comportamiento no pasa desapercibido en tales ataques.. Sin embargo, la última incorporación a estos ataques es bastante única, ya que el grupo de malware ahora está robando AWS (Amazon Web Services) cartas credenciales, y también apunta a instalaciones de Kubernetes.
La función recién agregada es capaz de escanear los servidores infectados en busca de credenciales de AWS. En caso de que los sistemas Docker y Kubernetes comprometidos se estén ejecutando en AWS, el grupo de malware buscaría ~ / .aws / credentials y ~ / .aws / config. Entonces, copiaría y cargaría los archivos en su servidor de comando y control.
“El código para robar las credenciales de AWS es relativamente sencillo: en la ejecución, carga los archivos .credentials y .config de AWS predeterminados en el servidor de los atacantes., sayhi.bplace[.]neto“, el informe dice.
Según Cado Security, El gusano de TeamTNT contiene código copiado de otro gusano llamado Kinsing, que está diseñado para detener las herramientas de seguridad en la nube de Alibaba.
Parentesco fue desarrollado y lanzado por un grupo de piratería experimentado y contra servidores web. Según los informes disponibles, el malware se dirige a una vulnerabilidad de Docker debido a una mala configuración del servicio. El ataque es posible cuando los administradores web no han podido asegurar adecuadamente las instalaciones de Docker., creando una oportunidad para los atacantes.
En cuanto a la operación TeamTNT, los investigadores sospechan que el malware aún no ha utilizado ninguna de las credenciales de AWS robadas. Al parecer,, los investigadores enviaron una colección de credenciales al TeamTNT C&Servidor C, pero no se ha accedido a ninguna de esas cuentas antes de que se publicara su informe.
Sin embargo, siempre que TeamTNT decida utilizar las credenciales robadas, Pueden instalar criptomineros o venderlos en foros clandestinos..