Um recurso recém-adicionado em uma operação de criptominação previamente conhecida tem como alvo as credenciais da AWS, de acordo com relatório da empresa de segurança Cado Security.
O grupo de malware por trás dessa nova campanha é conhecido como TeamTNT, um grupo de crimes cibernéticos que tem como alvo as instalações do Docker. De acordo com pesquisadores da TrendMicro, este grupo está ativo pelo menos desde abril.
Equipe TeamTNT Cybercrime Gang
As operações de criptominação TeamTNT geralmente fazem a varredura na Internet em busca de sistemas Docker configurados incorretamente, com suas APIs de gerenciamento expostas e sem uma senha. TeamTNT acessaria a API para executar servidores dentro da instalação do Docker para iniciar ataques DDoS e criptominerais. Este comportamento não é invisível em tais ataques. Contudo, a última adição a esses ataques é bastante única, já que o grupo de malware agora está roubando AWS (Amazon Web Services) credenciais, e também visa instalações do Kubernetes.
O recurso recém-adicionado é capaz de escanear os servidores infectados para credenciais AWS. Caso os sistemas Docker e Kubernetes comprometidos estejam em execução na AWS, o grupo de malware verificaria ~ / .aws / credentials e ~ / .aws / config. Então, ele iria copiar e fazer upload dos arquivos em seu servidor de comando e controle.
“O código para roubar credenciais da AWS é relativamente simples - na execução, ele carrega os arquivos .credentials e .config padrão da AWS para o servidor do invasor, sayhi.bplace[.]líquido“, o relatório diz.
De acordo com Cado Security, O worm TeamTNT contém código copiado de outro worm chamado Kinsing, que é projetado para parar as ferramentas de segurança em nuvem do Alibaba.
Kinsing foi desenvolvido e lançado por um grupo de hackers experiente e colocado em servidores da web. De acordo com os relatórios disponíveis, o malware tem como alvo uma vulnerabilidade do Docker devido a uma configuração incorreta do serviço. O ataque é possível quando os administradores da web não conseguem proteger adequadamente as instalações do Docker, criando uma oportunidade para os atacantes.
Quanto à operação TeamTNT, os pesquisadores suspeitam que o malware ainda não usou nenhuma das credenciais roubadas da AWS. Pelo visto, os pesquisadores enviaram uma coleção de credenciais para o TeamTNT C&servidor C, mas nenhuma dessas contas foi acessada antes de seu relatório ser divulgado.
Contudo, sempre que a TeamTNT decidir usar as credenciais roubadas, eles podem instalar criptominadores ou vendê-los em fóruns clandestinos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: