Престъпна група TeamTNT

TeamTNT е името, дадено на група за киберпрестъпления, която е специализирана в операции за копаене на криптовалута. Въпреки че имаше малко, което да ги разграничи от останалите други хакерски групи, извършващи тези видове атаки първоначално, изглежда, че TeamTNT развива своите операции и сега се съобщава, че може да събира идентификационни данни за Amazon Web Services (AWS) от заразени сървъри.

Когато TeamTNT за първи път привлече вниманието на изследователите по киберсигурност, той беше насочен основно към системите на Docker, които бяха конфигурирани неправилно и имаха API на ниво управление без защита с парола, оставена отворена за Интернет. След като влязат в мрежата, хакерите ще разположат сървъри, които ще извършват DDoS и операции за копаене на криптовалута.

Престъпната група TeamTNT се развива

Оттогава обаче хакерите успяват да разширят дейността си, като се разклоняват и добавят инсталации на Kubernetes като потенциални цели. По-важното е, че според изследователите по киберсигурност в Cado Security, TeamTNT е включил скенер, който проверява заразените сървъри и събира идентификационни данни на AWS. Хакерската група търси по-специално файловете '/.aws/credentials' и '/.aws/config', копира ги и изпраща и двата файла на сървъра за командване и управление (C2), използван за кампанията за атака. Трябва да се отбележи, че и двата файла са криптирани и съхраняват идентификационни данни за инфраструктурата на AWS в обикновен текст.

Въпреки че изглежда, че TeamTNT все още не е започнал да използва достъпа си до идентификационните данни на AWS, те биха могли да започнат да го правят всеки момент, тъй като това представлява огромна парична възможност за тях. Хакерите биха могли просто да продадат събраните идентификационни данни за директни печалби или да ги използват, за да разширят значително своите престъпни дейности, като използват потенциалния достъп до AWS EC2 клъстери и директно инсталират зловреден софтуер за крипто копаене.