گروه جنایی TeamTNT
TeamTNT نامی است که به یک گروه جرایم سایبری که در عملیات استخراج رمزنگاری تخصص دارد داده می شود. در حالی که در ابتدا نمیتوان آنها را از بقیه گروههای هکر دیگر که این نوع حملات را انجام میدادند متمایز کرد، به نظر میرسد که TeamTNT در حال توسعه عملیات خود است و اکنون گزارش شده است که میتواند اعتبارنامههای خدمات وب آمازون (AWS) را از سایت جمعآوری کند. سرورهای آلوده
زمانی که TeamTNT برای اولین بار توجه محققان امنیت سایبری را به خود جلب کرد، سیستمهای Docker را هدف قرار داد که عمدتاً به اشتباه پیکربندی شده بودند و دارای API سطح مدیریت بدون محافظت از رمز عبور برای اینترنت بودند. پس از ورود به شبکه، هکرها سرورهایی را مستقر می کنند که عملیات DDoS و استخراج رمزنگاری را انجام می دهند.
گروه جنایی TeamTNT در حال تکامل است
با این حال، از آن زمان به بعد، هکرها موفق به گسترش عملیات خود با انشعاب و افزودن تاسیسات Kubernetes به عنوان اهداف بالقوه شدند. مهمتر از همه، به گفته محققان امنیت سایبری در Cado Security، TeamTNT یک اسکنر ارائه کرده است که سرورهای آلوده را بررسی می کند و اعتبار AWS را جمع آوری می کند. گروه هکر به دنبال فایل های '/.aws/credentials' و '/.aws/config' می گردد، به ویژه آنها را کپی می کند و هر دو فایل را به سرور Command-and-Control (C2) مورد استفاده برای کمپین حمله می فرستد. لازم به ذکر است که هر دو فایل رمزگذاری شده اند و اعتبارنامه های زیرساخت AWS را به صورت متن ساده ذخیره می کنند.
در حالی که به نظر می رسد TeamTNT هنوز شروع به سوء استفاده از دسترسی خود به اعتبارنامه AWS نکرده است، آنها می توانند هر لحظه این کار را شروع کنند زیرا این یک فرصت پولی بزرگ برای آنها است. هکرها به سادگی میتوانند اعتبار جمعآوریشده را برای منافع مستقیم بفروشند یا از آنها برای گسترش فعالیتهای مجرمانهشان بهطور قابلتوجهی با اعمال نفوذ بالقوه به خوشههای AWS EC2 و نصب مستقیم بدافزارهای استخراج رمزنگاری استفاده کنند.