گروه جنایی TeamTNT

TeamTNT نامی است که به یک گروه جرایم سایبری که در عملیات استخراج رمزنگاری تخصص دارد داده می شود. در حالی که در ابتدا نمی‌توان آن‌ها را از بقیه گروه‌های هکر دیگر که این نوع حملات را انجام می‌دادند متمایز کرد، به نظر می‌رسد که TeamTNT در حال توسعه عملیات خود است و اکنون گزارش شده است که می‌تواند اعتبارنامه‌های خدمات وب آمازون (AWS) را از سایت جمع‌آوری کند. سرورهای آلوده

زمانی که TeamTNT برای اولین بار توجه محققان امنیت سایبری را به خود جلب کرد، سیستم‌های Docker را هدف قرار داد که عمدتاً به اشتباه پیکربندی شده بودند و دارای API سطح مدیریت بدون محافظت از رمز عبور برای اینترنت بودند. پس از ورود به شبکه، هکرها سرورهایی را مستقر می کنند که عملیات DDoS و استخراج رمزنگاری را انجام می دهند.

گروه جنایی TeamTNT در حال تکامل است

با این حال، از آن زمان به بعد، هکرها موفق به گسترش عملیات خود با انشعاب و افزودن تاسیسات Kubernetes به عنوان اهداف بالقوه شدند. مهمتر از همه، به گفته محققان امنیت سایبری در Cado Security، TeamTNT یک اسکنر ارائه کرده است که سرورهای آلوده را بررسی می کند و اعتبار AWS را جمع آوری می کند. گروه هکر به دنبال فایل های '/.aws/credentials' و '/.aws/config' می گردد، به ویژه آنها را کپی می کند و هر دو فایل را به سرور Command-and-Control (C2) مورد استفاده برای کمپین حمله می فرستد. لازم به ذکر است که هر دو فایل رمزگذاری شده اند و اعتبارنامه های زیرساخت AWS را به صورت متن ساده ذخیره می کنند.

در حالی که به نظر می رسد TeamTNT هنوز شروع به سوء استفاده از دسترسی خود به اعتبارنامه AWS نکرده است، آنها می توانند هر لحظه این کار را شروع کنند زیرا این یک فرصت پولی بزرگ برای آنها است. هکرها به سادگی می‌توانند اعتبار جمع‌آوری‌شده را برای منافع مستقیم بفروشند یا از آنها برای گسترش فعالیت‌های مجرمانه‌شان به‌طور قابل‌توجهی با اعمال نفوذ بالقوه به خوشه‌های AWS EC2 و نصب مستقیم بدافزارهای استخراج رمزنگاری استفاده کنند.