Una nuova funzionalità aggiunta in un'operazione di cryptomining precedentemente nota sta prendendo di mira le credenziali AWS, secondo un rapporto della società di sicurezza Cado Security.
Il gruppo di malware dietro questa nuova campagna è noto come TeamTNT, un gruppo di criminali informatici che ha preso di mira le installazioni Docker. Secondo i ricercatori TrendMicro, questo gruppo è attivo almeno da aprile.
Gang della criminalità informatica TeamTNT
Le operazioni di cryptomining di TeamTNT di solito eseguono la scansione di Internet per sistemi Docker configurati in modo errato, con le relative API di gestione esposte e prive di password. TeamTNT accederà all'API per eseguire server all'interno dell'installazione Docker per avviare attacchi DDoS e cryptominer. Questo comportamento non è invisibile in tali attacchi. Tuttavia, l'ultima aggiunta a questi attacchi è piuttosto unica, poiché il gruppo di malware sta ora rubando AWS (Amazon Web Services) credenziali, e si rivolge anche alle installazioni Kubernetes.
La nuova funzionalità aggiunta è in grado di scansionare i server infetti per le credenziali AWS. Nel caso in cui i sistemi Docker e Kubernetes compromessi siano in esecuzione su AWS, il gruppo di malware eseguirà la scansione ~ / .Aws / credenziali e ~ / .Aws / config. Poi, copia e carica i file sul suo server di comando e controllo.
“Il codice per rubare le credenziali AWS è relativamente semplice: durante l'esecuzione carica i file .credentials e .config predefiniti di AWS sul server degli aggressori, sayhi.bplace[.]netto“, il rapporto dice.
Secondo Cado Security, Il worm di TeamTNT contiene codice copiato da un altro worm chiamato Kinsing, progettato per interrompere gli strumenti di sicurezza cloud di Alibaba.
Kinsing è stato sviluppato e lanciato da un gruppo di hacker esperto e impostato contro i server web. Secondo i rapporti disponibili, il malware sta prendendo di mira una vulnerabilità Docker a causa di un'errata configurazione del servizio. L'attacco è possibile quando gli amministratori web non sono riusciti a proteggere adeguatamente le installazioni Docker, creando un'opportunità per gli aggressori.
Per quanto riguarda l'operazione TeamTNT, i ricercatori sospettano che il malware non abbia ancora utilizzato nessuna delle credenziali AWS rubate. Apparentemente, i ricercatori hanno inviato una raccolta di credenziali al TeamTNT C&Server di C, ma nessuno di questi account è stato consultato prima che il loro rapporto fosse pubblicato.
Tuttavia, ogni volta che TeamTNT decide di utilizzare le credenziali rubate, possono installare cryptominer o venderli su forum sotterranei.