TeamTNT Criminal Group

TeamTNT is de naam die wordt gegeven aan een cybercriminaliteitsgroep die gespecialiseerd is in cryptomining-operaties. Hoewel ze aanvankelijk weinig verschilden van de rest van de andere hackergroepen die dit soort aanvallen uitvoerden, lijkt het erop dat TeamTNT zijn activiteiten aan het ontwikkelen is en nu naar verluidt in staat is om Amazon Web Services (AWS)-inloggegevens te verzamelen van de geïnfecteerde servers.

Toen TeamTNT voor het eerst de aandacht trok van cybersecurity-onderzoekers, richtte het zich op Docker-systemen die primair verkeerd waren geconfigureerd en een API op managementniveau hadden zonder wachtwoordbeveiliging die open was gelaten voor internet. Eenmaal binnen het netwerk zouden de hackers servers inzetten die DDoS- en cryptomining-operaties zouden uitvoeren.

De TeamTNT Criminal Group evolueert

Sindsdien zijn de hackers er echter in geslaagd hun activiteiten uit te breiden door zich te vertakken en Kubernetes-installaties toe te voegen als potentiële doelen. Wat nog belangrijker is, volgens de cybersecurity-onderzoekers van Cado Security, heeft TeamTNT een scanner toegevoegd die de geïnfecteerde servers controleert en AWS-inloggegevens verzamelt. De hackersgroep zoekt met name naar de bestanden '/.aws/credentials' en '/.aws/config', kopieert deze en stuurt beide bestanden naar de Command-and-Control (C2)-server die voor de aanvalscampagne is gebruikt. Opgemerkt moet worden dat beide bestanden gecodeerd zijn en referenties voor de AWS-infrastructuur in platte tekst opslaan.

Hoewel het erop lijkt dat TeamTNT nog niet is begonnen met het exploiteren van hun toegang tot AWS-inloggegevens, kunnen ze dit op elk moment beginnen, omdat dit een enorme financiële kans voor hen vertegenwoordigt. De hackers kunnen de verzamelde inloggegevens eenvoudig verkopen voor directe winst of ze gebruiken om hun criminele activiteiten aanzienlijk uit te breiden door gebruik te maken van de potentiële toegang tot AWS EC2-clusters en direct crypto-mining-malware te installeren.