Une fonctionnalité nouvellement ajoutée dans une opération de cryptomining précédemment connue cible les informations d'identification AWS, selon un rapport de la société de sécurité Cado Security.
Le groupe de malwares derrière cette nouvelle campagne est connu sous le nom de TeamTNT, un groupe de cybercriminalité qui cible les installations Docker. Selon les chercheurs TrendMicro, ce groupe est actif au moins depuis avril.
Gang de cybercriminalité TeamTNT
Les opérations de cryptomining TeamTNT analysent généralement Internet à la recherche de systèmes Docker mal configurés, avec leurs API de gestion exposées et sans mot de passe. TeamTNT accèderait à l'API pour exécuter des serveurs à l'intérieur de l'installation Docker pour lancer des attaques DDoS et des cryptomineurs. Ce comportement n'est pas invisible dans de telles attaques. Cependant, le dernier ajout à ces attaques est plutôt unique, car le groupe de logiciels malveillants vole désormais AWS (Amazon Web Services) lettres de créance, et cible également les installations Kubernetes.
La fonctionnalité nouvellement ajoutée est capable de scanner les serveurs infectés pour les informations d'identification AWS. Au cas où les systèmes Docker et Kubernetes compromis s'exécutent sur AWS, le groupe de logiciels malveillants rechercherait ~ / .aws / informations d'identification et ~ / .aws / config. Puis, il copierait et téléchargerait les fichiers sur son serveur de commande et de contrôle.
“Le code pour voler les informations d'identification AWS est relativement simple - lors de l'exécution, il télécharge les fichiers .credentials et .config AWS par défaut sur le serveur des attaquants., sayhi.bplace[.]net“, le rapport dit.
Selon Cado Security, Le ver de TeamTNT contient du code copié à partir d'un autre ver nommé Kinsing, qui est conçu pour arrêter les outils Alibaba Cloud Security.
Kinsing a été développé et lancé par un groupe de piratage expérimenté et contre des serveurs Web. Selon les rapports disponibles, le malware cible une vulnérabilité Docker en raison d'une mauvaise configuration du service. L'attaque est possible lorsque les administrateurs Web n'ont pas réussi à sécuriser correctement les installations Docker, créer une opportunité pour les attaquants.
Quant à l'opération TeamTNT, les chercheurs soupçonnent que le logiciel malveillant n'a toujours utilisé aucune des informations d'identification AWS volées. Apparemment, les chercheurs ont envoyé une collection d'informations d'identification au TeamTNT C&Serveur C, mais aucun de ces comptes n'a été consulté avant la publication de leur rapport.
Cependant, chaque fois que TeamTNT décide d'utiliser les informations d'identification volées, ils peuvent soit installer des cryptomineurs, soit les vendre sur des forums souterrains.