TeamTNT Criminal Group

TeamTNT to nazwa nadana grupie cyberprzestępczej, która specjalizuje się w operacjach wydobywania kryptowalut. Chociaż niewiele było do odróżnienia ich od pozostałych grup hakerów przeprowadzających początkowo tego typu ataki, wydaje się, że TeamTNT ewoluuje w swoich operacjach i teraz doniesiono, że jest w stanie zbierać dane uwierzytelniające Amazon Web Services (AWS) z zainfekowane serwery.

Kiedy TeamTNT po raz pierwszy zwrócił na siebie uwagę badaczy cyberbezpieczeństwa, jego celem były systemy Docker, które zostały przede wszystkim nieprawidłowo skonfigurowane i których interfejs API na poziomie zarządzania bez ochrony hasłem pozostawiono otwarty dla Internetu. Po wejściu do sieci hakerzy wdrażaliby serwery, które przeprowadzałyby operacje DDoS i kopanie kryptowalut.

Grupa przestępcza TeamTNT ewoluuje

Od tego czasu hakerzy zdołali jednak rozszerzyć swoją działalność, rozgałęziając się i dodając instalacje Kubernetes jako potencjalne cele. Co ważniejsze, według badaczy cyberbezpieczeństwa z Cado Security, TeamTNT dołączył skaner, który sprawdza zainfekowane serwery i zbiera dane uwierzytelniające AWS. Grupa hakerów szuka plików „/.aws/credentials” i „/.aws/config”, w szczególności kopiuje je i wysyła oba pliki do serwera Command-and-Control (C2) używanego do kampanii ataku. Należy zauważyć, że oba pliki są szyfrowane i przechowują dane uwierzytelniające do infrastruktury AWS w postaci zwykłego tekstu.

Chociaż wydaje się, że TeamTNT nie zaczął jeszcze wykorzystywać swojego dostępu do danych uwierzytelniających AWS, mogą zacząć to robić w dowolnym momencie, ponieważ stanowi to dla nich ogromną szansę finansową. Hakerzy mogą po prostu sprzedać zebrane dane uwierzytelniające w celu uzyskania bezpośrednich korzyści lub wykorzystać je do znacznego rozszerzenia swojej działalności przestępczej, wykorzystując potencjalny dostęp do klastrów AWS EC2 i bezpośrednio instalując złośliwe oprogramowanie do wydobywania kryptowalut.