الفريق الجنائي TeamTNT
TeamTNT هو الاسم الذي يطلق على مجموعة جرائم الإنترنت التي تتخصص في عمليات التنقيب عن العملات المشفرة. بينما لم يكن هناك الكثير لتمييزهم عن بقية مجموعات القراصنة الأخرى التي نفذت هذه الأنواع من الهجمات في البداية ، يبدو أن TeamTNT يطور عملياته وقد تم الإبلاغ الآن عن قدرته على جمع بيانات اعتماد Amazon Web Services (AWS) من الخوادم المصابة.
عندما لفت TeamTNT انتباه باحثي الأمن السيبراني لأول مرة ، كان يستهدف أنظمة Docker التي تم تكوينها بشكل غير صحيح في المقام الأول ولديها واجهة برمجة تطبيقات على مستوى الإدارة دون حماية كلمة المرور وتركت مفتوحة للإنترنت. بمجرد دخولك إلى الشبكة ، سينشر المتسللون خوادم من شأنها أن تنفذ عمليات DDoS وعمليات التنقيب عن العملات المشفرة.
تتطور مجموعة TeamTNT الإجرامية
منذ ذلك الحين ، ومع ذلك ، تمكن المتسللون من توسيع عملياتهم من خلال التفرع وإضافة منشآت Kubernetes كأهداف محتملة. الأهم من ذلك ، وفقًا لباحثي الأمن السيبراني في Cado Security ، أن TeamTNT قد قام بتضمين ماسح ضوئي يتحقق من الخوادم المصابة ويجمع بيانات اعتماد AWS. تبحث مجموعة المتسللين عن ملفات '/.aws/credentials' و '/.aws/config' ، على وجه الخصوص ، وتقوم بنسخها وإرسال كلا الملفين إلى خادم الأوامر والتحكم (C2) المستخدم في حملة الهجوم. وتجدر الإشارة إلى أن كلا الملفين مشفران ويتم تخزين بيانات اعتماد البنية التحتية لـ AWS في شكل نص عادي.
بينما يبدو أن TeamTNT لم يبدأ بعد في استغلال وصولهم إلى بيانات اعتماد AWS ، يمكنهم البدء في القيام بذلك في أي لحظة لأنه يمثل فرصة مالية ضخمة لهم. يمكن للمتسللين ببساطة بيع بيانات الاعتماد المجمعة لتحقيق مكاسب مباشرة أو استخدامها لتوسيع أنشطتهم الإجرامية بشكل كبير من خلال الاستفادة من الوصول المحتمل إلى مجموعات AWS EC2 وتثبيت البرامج الضارة للتعدين المشفر مباشرةً.
