TeamTNT kriminālā grupa

TeamTNT ir nosaukums kibernoziedzības grupai, kas specializējas kriptoraktuves operācijās. Lai gan sākotnēji bija maz, lai tos atšķirtu no pārējām citām hakeru grupām, kas veic šāda veida uzbrukumus, šķiet, ka TeamTNT attīsta savas darbības un tagad ir ziņots, ka tā spēj savākt Amazon Web Services (AWS) akreditācijas datus no inficēti serveri.

Kad TeamTNT pirmo reizi pievērsa kiberdrošības pētnieku uzmanību, tā galvenokārt bija vērsta uz Docker sistēmām, kuras bija nepareizi konfigurētas un kurām bija pārvaldības līmeņa API bez paroles aizsardzības, kas bija atvērta internetam. Nokļūstot tīklā, hakeri izvietos serverus, kas veiktu DDoS un kriptogrāfijas ieguves darbības.

TeamTNT kriminālā grupa attīstās

Tomēr kopš tā laika hakeriem ir izdevies paplašināt savu darbību, atzarojot un pievienojot Kubernetes instalācijas kā potenciālos mērķus. Vēl svarīgāk ir tas, ka saskaņā ar Cado Security kiberdrošības pētniekiem TeamTNT ir iekļāvis skeneri, kas pārbauda inficētos serverus un apkopo AWS akreditācijas datus. Hakeru grupa meklē failus “/.aws/credentials” un “/.aws/config”, jo īpaši tos kopē un nosūta abus failus uz Command-and-Control (C2) serveri, ko izmanto uzbrukuma kampaņai. Jāatzīmē, ka abi faili ir šifrēti un glabā AWS infrastruktūras akreditācijas datus vienkārša teksta formā.

Lai gan šķiet, ka TeamTNT vēl nav sācis izmantot savu piekļuvi AWS akreditācijas datiem, viņi var sākt to darīt jebkurā brīdī, jo tas viņiem ir milzīga monetāra iespēja. Hakeri varētu vienkārši pārdot savāktos akreditācijas datus, lai gūtu tiešus ieguvumus, vai izmantot tos, lai ievērojami paplašinātu savas noziedzīgās darbības, izmantojot potenciālo piekļuvi AWS EC2 klasteriem un tieši instalējot kriptogrāfijas ieguves ļaunprātīgu programmatūru.