TeamTNT kriminaalrühm

TeamTNT on nimi, mis on antud küberkuritegevuse grupile, mis on spetsialiseerunud krüptokaevandamise operatsioonidele. Kuigi esialgu oli neid vähe eristada teistest seda tüüpi rünnakuid sooritavatest häkkerirühmitustest, näib, et TeamTNT arendab oma tegevust ja nüüdseks on teatatud, et ta suudab koguda Amazon Web Servicesi (AWS) mandaate nakatunud serverid.

Kui TeamTNT küberjulgeoleku uurijate tähelepanu esimest korda tõmbas, oli see suunatud Dockeri süsteemidele, mis olid peamiselt valesti konfigureeritud ja mille haldustaseme API ilma paroolikaitseta oli Internetile avatud. Võrku sisenedes võtavad häkkerid kasutusele serverid, mis viivad läbi DDoS-i ja krüptokaevandamise toiminguid.

TeamTNT kriminaalrühm areneb

Sellest ajast peale on häkkeritel aga õnnestunud oma tegevust laiendada, hargnedes ja lisades potentsiaalsete sihtmärkidena Kubernetese installid. Veelgi olulisem on see, et Cado Security küberjulgeoleku teadlaste sõnul on TeamTNT lisanud skanneri, mis kontrollib nakatunud servereid ja kogub AWS-i mandaate. Häkkerite rühm otsib faile '/.aws/credentials' ja '/.aws/config', kopeerib need ning saadab mõlemad failid ründekampaanias kasutatavasse Command-and-Control (C2) serverisse. Tuleb märkida, et mõlemad failid on krüptitud ja salvestavad AWS-i infrastruktuuri mandaadid lihtteksti kujul.

Kuigi tundub, et TeamTNT ei ole veel hakanud kasutama oma juurdepääsu AWS-i mandaatidele, võivad nad seda igal hetkel tegema hakata, kuna see kujutab endast tohutut rahalist võimalust nende jaoks. Häkkerid võivad lihtsalt müüa kogutud mandaadid otsese kasu saamiseks või kasutada neid oma kuritegevuse oluliseks laiendamiseks, võimendades potentsiaalset juurdepääsu AWS EC2 klastritele ja installides otse krüptokaevandamise pahavara.