TeamTNT rikosryhmä

TeamTNT on nimi, joka on annettu kyberrikollisryhmälle, joka on erikoistunut kryptolouhintatoimintoihin. Vaikka alun perin ei ollut juurikaan mahdollista erottaa heidät muista muista tämäntyyppisiä hyökkäyksiä suorittavista hakkeriryhmistä, näyttää siltä, että TeamTNT kehittää toimintaansa ja sen on nyt raportoitu pystyvän keräämään Amazon Web Services (AWS) -tunnistetiedot tartunnan saaneita palvelimia.

Kun TeamTNT kiinnitti kyberturvallisuustutkijoiden huomion, se kohdistui ensisijaisesti Docker-järjestelmiin, jotka olivat ensisijaisesti konfiguroituja väärin ja joissa oli Internetille avoin hallintatason API ilman salasanasuojausta. Verkkoon päästyään hakkerit ottavat käyttöön palvelimia, jotka suorittaisivat DDoS- ja krypto-louhintaoperaatioita.

TeamTNT Criminal Group kehittyy

Siitä lähtien hakkerit ovat kuitenkin onnistuneet laajentamaan toimintaansa haarautumalla ja lisäämällä Kubernetes-asennuksia mahdollisiksi kohteiksi. Vielä tärkeämpää on, että Cado Securityn kyberturvallisuustutkijoiden mukaan TeamTNT on sisällyttänyt skannerin, joka tarkistaa tartunnan saaneet palvelimet ja kerää AWS-tunnistetiedot. Hakkeriryhmä etsii erityisesti tiedostoja '/.aws/credentials' ja '/.aws/config', kopioi ne ja lähettää molemmat tiedostot hyökkäyskampanjassa käytettävälle Command-and-Control (C2) -palvelimelle. On huomattava, että molemmat tiedostot ovat salattuja ja tallentavat AWS-infrastruktuurin valtuustiedot selkeästi.

Vaikuttaa siltä, että TeamTNT ei ole vielä alkanut hyödyntää pääsyään AWS-tunnistetietoihin, mutta he voivat aloittaa sen milloin tahansa, koska se on heille valtava rahallinen mahdollisuus. Hakkerit voisivat yksinkertaisesti myydä kerätyt tunnistetiedot suoria voittoja varten tai käyttää niitä laajentamaan rikollista toimintaansa merkittävästi hyödyntämällä potentiaalista pääsyä AWS EC2 -klusteriin ja asentamalla krypto-louhintahaittaohjelmia suoraan.