TeamTNT 범죄 그룹

TeamTNT는 암호 채굴 작업을 전문으로 하는 사이버 범죄 그룹에 부여된 이름입니다. 초기에는 이러한 유형의 공격을 수행하는 다른 해커 그룹과 구별할 수 있는 부분이 거의 없었지만 TeamTNT는 작업을 발전시키고 있으며 이제 Amazon Web Services(AWS) 자격 증명을 수집할 수 있는 것으로 보고되었습니다. 감염된 서버.

TeamTNT가 처음 사이버 보안 연구원의 관심을 끌었을 때, 주로 잘못 구성된 Docker 시스템을 대상으로 했으며 암호 보호가 없는 관리 수준 API가 인터넷에 공개되어 있었습니다. 네트워크 내부에 들어가면 해커는 DDoS 및 암호화 채굴 작업을 수행할 서버를 배포합니다.

TeamTNT 범죄 그룹은 진화하고 있습니다

그러나 그 이후로 해커는 분기를 하고 Kubernetes 설치를 잠재적인 대상으로 추가하여 작업을 확장할 수 있었습니다. 더 중요한 것은 Cado Security의 사이버 보안 연구원에 따르면 TeamTNT에는 감염된 서버를 확인하고 AWS 자격 증명을 수집하는 스캐너가 포함되어 있습니다. 해커 그룹은 특히 '/.aws/credentials' 및 '/.aws/config' 파일을 찾아 복사하여 공격 캠페인에 사용된 Command-and-Control(C2) 서버로 전송합니다. 두 파일 모두 암호화되어 AWS 인프라에 대한 자격 증명을 일반 텍스트 형식으로 저장합니다.

TeamTNT는 아직 AWS 자격 증명에 대한 액세스를 악용하기 시작하지 않은 것으로 보이지만 엄청난 금전적 기회를 제공하므로 언제든지 시작할 수 있습니다. 해커는 수집된 자격 증명을 판매하여 직접적인 이득을 얻거나 AWS EC2 클러스터에 대한 잠재적인 액세스를 활용하고 암호화폐 채굴 악성코드를 직접 설치하여 범죄 활동을 크게 확장할 수 있습니다.