TeamTNT Criminal Group

TeamTNT er navnet givet til en cyberkriminalitetsgruppe, der er specialiseret i krypto-minedrift. Selvom der ikke var meget til at adskille dem fra resten af de andre hackergrupper, der udførte disse typer angreb oprindeligt, ser det ud til, at TeamTNT er ved at udvikle sine operationer og nu er blevet rapporteret at være i stand til at indsamle Amazon Web Services (AWS) legitimationsoplysninger fra inficerede servere.

Da TeamTNT først fangede cybersikkerhedsforskeres opmærksomhed, var det målrettet mod Docker-systemer, der primært var blevet konfigureret forkert og havde API på ledelsesniveau uden adgangskodebeskyttelse åbent til internettet. Når hackerne først var inde i netværket, installerede de servere, der ville udføre DDoS- og kryptomineoperationer.

TeamTNT Criminal Group er under udvikling

Siden da har hackerne dog formået at udvide deres aktiviteter ved at forgrene sig og tilføje Kubernetes-installationer som potentielle mål. Endnu vigtigere, ifølge cybersikkerhedsforskerne hos Cado Security, har TeamTNT inkluderet en scanner, der tjekker de inficerede servere og indsamler AWS-legitimationsoplysninger. Hackergruppen leder især efter '/.aws/credentials'- og '/.aws/config'-filerne, kopierer dem og sender begge filer til Command-and-Control-serveren (C2), der blev brugt til angrebskampagnen. Det skal bemærkes, at begge filer er krypterede og gemmer legitimationsoplysninger til AWS-infrastrukturen i almindelig tekstform.

Selvom det ser ud til, at TeamTNT endnu ikke er begyndt at udnytte deres adgang til AWS-legitimationsoplysninger, kan de begynde at gøre det når som helst, da det repræsenterer en enorm monetær mulighed for dem. Hackerne kunne simpelthen sælge de indsamlede legitimationsoplysninger for direkte gevinster eller bruge dem til at udvide deres kriminelle aktiviteter betydeligt ved at udnytte den potentielle adgang til AWS EC2-klynger og installere crypto-mining malware direkte.