TeamTNT Criminal Group

TeamTNT er navnet gitt til en nettkriminalitetsgruppe som spesialiserer seg på kryptogruvedrift. Selv om det var lite å skille dem fra resten av de andre hackergruppene som utførte denne typen angrep i utgangspunktet, ser det ut til at TeamTNT er i ferd med å utvikle sine operasjoner og har nå blitt rapportert å kunne samle inn Amazon Web Services (AWS)-legitimasjon fra infiserte servere.

Da TeamTNT først fanget oppmerksomheten til cybersikkerhetsforskere, var det først og fremst rettet mot Docker-systemer som hadde blitt konfigurert feil primært og som hadde administrasjonsnivå-API uten passordbeskyttelse åpent mot Internett. En gang inne i nettverket, ville hackerne distribuere servere som ville utføre DDoS- og kryptogruveoperasjoner.

TeamTNT Criminal Group er i utvikling

Siden den gang har hackerne imidlertid klart å utvide sin virksomhet ved å forgrene seg og legge til Kubernetes-installasjoner som potensielle mål. Enda viktigere, ifølge cybersikkerhetsforskerne ved Cado Security, har TeamTNT inkludert en skanner som sjekker de infiserte serverne og samler inn AWS-legitimasjon. Hackergruppen ser spesielt etter '/.aws/credentials'- og '/.aws/config'-filene, kopierer dem og sender begge filene til Command-and-Control-serveren (C2) som ble brukt til angrepskampanjen. Det bør bemerkes at begge filene er kryptert og lagrer legitimasjon for AWS-infrastrukturen i ren tekstform.

Selv om det ser ut til at TeamTNT ennå ikke har begynt å utnytte tilgangen deres til AWS-legitimasjon, kan de begynne å gjøre det når som helst da det representerer en enorm pengemulighet for dem. Hackerne kan ganske enkelt selge den innsamlede legitimasjonen for direkte gevinster eller bruke dem til å utvide sine kriminelle aktiviteter betydelig ved å utnytte den potensielle tilgangen til AWS EC2-klynger og installere crypto-mining malware direkte.