Threat Database Advanced Persistent Threat (APT) ក្រុមឧក្រិដ្ឋជន TeamTNT

ក្រុមឧក្រិដ្ឋជន TeamTNT

TeamTNT គឺជាឈ្មោះដែលផ្តល់ទៅឱ្យក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមានជំនាញក្នុងប្រតិបត្តិការរុករករ៉ែគ្រីបតូ។ ខណៈពេលដែលវាមានភាពខុសប្លែកគ្នាតិចតួចពីក្រុម hacker ផ្សេងទៀតដែលអនុវត្តប្រភេទនៃការវាយប្រហារទាំងនេះដំបូងឡើយ វាហាក់ដូចជាថា TeamTNT កំពុងវិវត្តប្រតិបត្តិការរបស់ខ្លួន ហើយឥឡូវនេះត្រូវបានគេរាយការណ៍ថាអាចប្រមូលព័ត៌មានសម្ងាត់ Amazon Web Services (AWS) ពី ម៉ាស៊ីនមេដែលឆ្លងមេរោគ។

នៅពេលដែល TeamTNT ចាប់បានចំណាប់អារម្មណ៍របស់អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតជាលើកដំបូង វាបានកំណត់គោលដៅលើប្រព័ន្ធ Docker ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវជាចម្បង ហើយមាន API កម្រិតគ្រប់គ្រងដោយមិនមានការការពារពាក្យសម្ងាត់ទុកឱ្យបើកអ៊ីនធឺណិត។ នៅពេលដែលនៅក្នុងបណ្តាញនោះ ពួក Hacker នឹងដាក់ពង្រាយម៉ាស៊ីនមេដែលនឹងអនុវត្តប្រតិបត្តិការ DDoS និង crypto-mining ។

ក្រុមឧក្រិដ្ឋកម្ម TeamTNT កំពុងវិវត្ត

ទោះបីជាយ៉ាងណាក៏ដោយចាប់តាំងពីពេលនោះមក ពួក Hacker បានគ្រប់គ្រងពង្រីកប្រតិបត្តិការរបស់ពួកគេដោយបំបែក និងបន្ថែមការដំឡើង Kubernetes ជាគោលដៅសក្តានុពល។ សំខាន់ជាងនេះទៅទៀត យោងទៅតាមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតនៅ Cado Security TeamTNT បានរួមបញ្ចូលម៉ាស៊ីនស្កេនដែលពិនិត្យមើលម៉ាស៊ីនមេដែលមានមេរោគ និងប្រមូលព័ត៌មានបញ្ជាក់ AWS ។ ក្រុមហេគឃ័រស្វែងរកឯកសារ '/.aws/credentials' និង '/.aws/config' ជាពិសេសចម្លងពួកវា ហើយផ្ញើឯកសារទាំងពីរទៅម៉ាស៊ីនមេ Command-and-Control (C2) ដែលប្រើសម្រាប់យុទ្ធនាការវាយប្រហារ។ វាគួរតែត្រូវបានកត់សម្គាល់ថាឯកសារទាំងពីរត្រូវបានអ៊ិនគ្រីប និងរក្សាទុកព័ត៌មានសម្ងាត់សម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធ AWS ជាទម្រង់អត្ថបទធម្មតា។

ខណៈពេលដែលវាហាក់បីដូចជា TeamTNT មិនទាន់បានចាប់ផ្តើមទាញយកសិទ្ធិចូលប្រើប្រាស់របស់ពួកគេទៅកាន់ AWS credentials ពួកគេអាចចាប់ផ្តើមធ្វើដូច្នេះនៅពេលណាមួយព្រោះវាតំណាងឱ្យឱកាសរូបិយវត្ថុដ៏ធំសម្រាប់ពួកគេ។ ពួក Hacker អាចគ្រាន់តែលក់លិខិតសម្គាល់ដែលប្រមូលបានសម្រាប់ការទទួលបានដោយផ្ទាល់ ឬប្រើប្រាស់វាដើម្បីពង្រីកសកម្មភាពឧក្រិដ្ឋកម្មរបស់ពួកគេយ៉ាងសំខាន់ ដោយប្រើប្រាស់សក្តានុពលនៃការចូលប្រើក្រុម AWS EC2 និងដំឡើងមេរោគ crypto-mining malware ដោយផ្ទាល់។

និន្នាការ

មើលច្រើនបំផុត

កំពុង​ផ្ទុក...