以前から知られているクリプトマイニング操作で新しく追加された機能は、AWSクレデンシャルを対象としています, 警備会社CadoSecurityの報告によると.
この新しいキャンペーンの背後にあるマルウェアグループは、TeamTNTとして知られています, Dockerのインストールを標的にしているサイバー犯罪グループ. TrendMicroの研究者によると, このグループは少なくとも4月から活動しています.
TeamTNTサイバー犯罪ギャング
TeamTNTクリプトマイニング操作は通常、インターネットをスキャンして、誤って構成されたDockerシステムを探します, 管理APIが公開されており、パスワードが不足している. TeamTNTはAPIにアクセスして、Dockerインストール内でサーバーを実行し、DDoS攻撃とクリプトマイナーを開始します. この動作は、このような攻撃では見られません。. でも, これらの攻撃への最新の追加はかなりユニークです, マルウェアグループがAWSを盗んでいるため (アマゾンウェブサービス) 資格, また、Kubernetesのインストールも対象としています.
新しく追加された機能は、感染したサーバーをスキャンしてAWSクレデンシャルを探すことができます. 侵害されたDockerおよびKubernetesシステムがAWSで実行されている場合, マルウェアグループはスキャンします 〜/ .aws / credentials と 〜/ .aws / config. それで, コマンドアンドコントロールサーバーにファイルをコピーしてアップロードします.
“AWSクレデンシャルを盗むためのコードは比較的簡単です。実行時に、デフォルトのAWS.credentialsファイルと.configファイルを攻撃者のサーバーにアップロードします。, sayhi.bplace[.]ネット“, レポート 言う.
カドセキュリティによると, TeamTNTのワームには、Kinsingという名前の別のワームからコピーされたコードが含まれています, これは、AlibabaCloudSecurityツールを停止するように設計されています.
キンシング 経験豊富なハッキンググループによって開発および立ち上げられ、Webサーバーに対して設定されました. 利用可能なレポートによると, サービスの設定ミスにより、マルウェアがDockerの脆弱性を標的にしている. Web管理者がDockerインストールを適切に保護できなかった場合、攻撃が発生する可能性があります, 攻撃者に機会を与える.
TeamTNTの運用について, 研究者たちは、マルウェアが盗まれたAWSクレデンシャルをまだ使用していないと疑っています. どうやら, 研究者はクレデンシャルのコレクションをTeamTNTCに送信しました&Cサーバー, しかし、レポートがリリースされる前に、これらのアカウントにはアクセスされていません。.
でも, TeamTNTが盗まれた資格情報を使用することを決定したときはいつでも, クリプトマイナーをインストールするか、地下フォーラムで販売することができます.