TeamTNT kriminalinė grupė

TeamTNT yra kibernetinių nusikaltimų grupės, kuri specializuojasi kriptovaliutų gavybos operacijose, pavadinimas. Nors iš pradžių buvo mažai kuo juos atskirti nuo kitų įsilaužėlių grupių, vykdančių tokio tipo atakas, atrodo, kad TeamTNT plėtoja savo veiklą ir dabar pranešama, kad ji gali rinkti Amazon Web Services (AWS) kredencialus iš užkrėstų serverių.

Kai TeamTNT pirmą kartą patraukė kibernetinio saugumo tyrėjų dėmesį, ji pirmiausia buvo nukreipta į „Docker“ sistemas, kurios buvo sukonfigūruotos neteisingai ir kuriose valdymo lygio API be slaptažodžio apsaugos buvo palikta internetui. Patekę į tinklą, įsilaužėliai dislokuotų serverius, kurie atliktų DDoS ir kriptovaliutų gavybos operacijas.

TeamTNT kriminalinė grupė vystosi

Tačiau nuo to laiko įsilaužėliams pavyko išplėsti savo veiklą, išsišakoję ir įtraukdami Kubernetes įrenginius kaip galimus taikinius. Dar svarbiau, kad, pasak „Cado Security“ kibernetinio saugumo tyrėjų, „TeamTNT“ įtraukė skaitytuvą, kuris tikrina užkrėstus serverius ir renka AWS kredencialus. Įsilaužėlių grupė ieško failų „/.aws/credentials“ ir „/.aws/config“, ypač juos nukopijuoja ir siunčia abu failus į komandų ir valdymo (C2) serverį, naudojamą atakos kampanijai. Reikėtų pažymėti, kad abu failai yra užšifruoti ir juose saugomi AWS infrastruktūros kredencialai paprasto teksto forma.

Nors atrodo, kad TeamTNT dar nepradėjo išnaudoti savo prieigos prie AWS kredencialų, jie gali pradėti tai daryti bet kuriuo metu, nes tai jiems yra didžiulė piniginė galimybė. Įsilaužėliai galėtų tiesiog parduoti surinktus kredencialus, siekdami tiesioginės naudos, arba panaudoti juos savo nusikalstamai veiklai žymiai išplėsti, pasinaudodami galimybe prieigai prie AWS EC2 grupių ir tiesiogiai įdiegdami kriptovaliutų kasybos kenkėjiškas programas.