TeamTNT bűnügyi csoport

TeamTNT egy kriptobányászati műveletekre szakosodott kiberbűnözési csoport elnevezése. Bár kezdetben kevés volt ahhoz, hogy megkülönböztessék őket az ilyen típusú támadásokat végrehajtó többi hackercsoporttól, úgy tűnik, hogy a TeamTNT fejleszti működését, és mostanra a jelentések szerint képes összegyűjteni az Amazon Web Services (AWS) hitelesítő adatait a fertőzött szerverek.

Amikor a TeamTNT először felkeltette a kiberbiztonsági kutatók figyelmét, elsősorban azokat a Docker-rendszereket célozta meg, amelyek hibásan voltak konfigurálva, és amelyekben jelszóvédelem nélküli felügyeleti szintű API nyitva maradt az interneten. Miután bekerültek a hálózatba, a hackerek olyan szervereket telepítenek, amelyek DDoS és kripto-bányászati műveleteket hajtanak végre.

A TeamTNT bűnözői csoport fejlődik

Azóta azonban a hackereknek sikerült kibővíteniük tevékenységüket azáltal, hogy elágaztak, és Kubernetes-telepítéseket vettek fel potenciális célpontként. Ennél is fontosabb, hogy a Cado Security kiberbiztonsági kutatói szerint a TeamTNT beépített egy szkennert, amely ellenőrzi a fertőzött szervereket és összegyűjti az AWS hitelesítő adatait. A hackercsoport megkeresi az „/.aws/credentials” és „/.aws/config” fájlokat, és kimásolja azokat, és mindkét fájlt elküldi a támadási kampányhoz használt Command-and-Control (C2) szerverre. Meg kell jegyezni, hogy mindkét fájl titkosított, és az AWS-infrastruktúra hitelesítő adatait egyszerű szöveges formában tárolja.

Noha úgy tűnik, hogy a TeamTNT még nem kezdte el kihasználni az AWS-hitelesítési adataihoz való hozzáférését, ezt bármikor elkezdhetik, mivel ez hatalmas pénzügyi lehetőséget jelent számukra. A hackerek egyszerűen eladhatják az összegyűjtött hitelesítő adatokat közvetlen haszonszerzés céljából, vagy felhasználhatják őket bűnözői tevékenységeik jelentős kiterjesztésére, kihasználva az AWS EC2 klaszterekhez való potenciális hozzáférést és közvetlenül kriptobányász kártevőket telepítve.