Tim TNT kriminalne grupe

TeamTNT je ime dano skupini cyber kriminala koja je specijalizirana za operacije rudarenja kriptovaluta. Iako ih je bilo malo što bi ih razlikovalo od ostalih hakerskih grupa koje su u početku provodile ove vrste napada, čini se da TeamTNT razvija svoje operacije i sada je prijavljeno da može prikupljati vjerodajnice Amazon Web Services (AWS) od zaraženi poslužitelji.

Kada je TeamTNT prvi put privukao pozornost istraživača kibernetičke sigurnosti, ciljao je na Docker sustave koji su primarno bili pogrešno konfigurirani i koji su imali API na razini upravljanja bez zaštite lozinkom koji je bio otvoren za Internet. Jednom u mreži, hakeri bi postavili poslužitelje koji bi obavljali DDoS i operacije kripto rudarenja.

TeamTNT kriminalna grupa se razvija

Međutim, od tada su hakeri uspjeli proširiti svoje poslovanje tako što su se razgranali i dodali Kubernetes instalacije kao potencijalne mete. Što je još važnije, prema istraživačima kibernetičke sigurnosti u Cado Security, TeamTNT je uključio skener koji provjerava zaražene poslužitelje i prikuplja AWS vjerodajnice. Grupa hakera traži datoteke '/.aws/credentials' i '/.aws/config', posebno ih kopira, i šalje obje datoteke na poslužitelj za naredbu i kontrolu (C2) koji se koristi za kampanju napada. Treba napomenuti da su obje datoteke šifrirane i pohranjuju vjerodajnice za AWS infrastrukturu u obliku otvorenog teksta.

Iako se čini da TeamTNT još nije počeo iskorištavati svoj pristup AWS vjerodajnicama, mogli bi to početi činiti u bilo kojem trenutku jer to za njih predstavlja veliku novčanu priliku. Hakeri bi jednostavno mogli prodati prikupljene vjerodajnice za izravnu dobit ili ih iskoristiti za značajno proširenje svojih kriminalnih aktivnosti iskorištavanjem potencijalnog pristupa AWS EC2 klasterima i izravnom instalacijom zlonamjernog softvera za kripto rudarenje.