TeamTNT Criminal Group

TeamTNT הוא השם שניתן לקבוצת פשעי סייבר המתמחה בפעולות כריית קריפטו. אמנם היה מעט להבדיל בינם לבין שאר קבוצות ההאקרים האחרות שביצעו סוגים אלה של התקפות בתחילה, אך נראה כי TeamTNT מפתחת את פעילותה וכעת דווח כי היא מסוגלת לאסוף אישורים של שירותי האינטרנט של אמזון (AWS) מה- שרתים נגועים.

כאשר TeamTNT משך לראשונה את תשומת לבם של חוקרי אבטחת סייבר, היא פנתה למערכות Docker שהוגדרו בצורה שגויה בעיקר, וה-API ברמת הניהול ללא הגנת סיסמה נותרה פתוחה לאינטרנט. ברגע שנכנסו לרשת, ההאקרים היו פורסים שרתים שיבצעו פעולות DDoS וכריית קריפטו.

הקבוצה הפלילית TeamTNT מתפתחת

אולם מאז, ההאקרים הצליחו להרחיב את פעילותם על ידי הסתעפות והוספת התקנות Kubernetes כמטרות פוטנציאליות. חשוב מכך, לפי חוקרי אבטחת הסייבר ב-Cado Security, TeamTNT כללה סורק שבודק את השרתים הנגועים ואוסף אישורי AWS. קבוצת ההאקרים מחפשת את הקבצים '/.aws/credentials' ו-'/.aws/config', בפרט, מעתיקה אותם ושולחת את שני הקבצים לשרת Command-and-Control (C2) המשמש למסע התקיפה. יש לציין ששני הקבצים מוצפנים ומאחסנים אישורים עבור תשתית AWS בצורה רגילה.

למרות שנראה ש-TeamTNT עדיין לא התחילה לנצל את הגישה שלהם לאישורי AWS, הם יכולים להתחיל לעשות זאת בכל רגע מכיוון שזה מהווה עבורם הזדמנות כספית ענקית. ההאקרים יכולים פשוט למכור את האישורים שנאספו לרווחים ישירים או להשתמש בהם כדי להרחיב את הפעילות הפלילית שלהם באופן משמעותי על ידי מינוף הגישה הפוטנציאלית לאשכולות AWS EC2 והתקנת תוכנות זדוניות של כריית קריפטו ישירות.