TeamTNT Grupul Criminal

TeamTNT este numele dat unui grup de criminalitate cibernetică care este specializat în operațiuni de cripto-mining. Deși a existat puține diferențe pentru a le diferenția de restul celorlalte grupuri de hackeri care au efectuat aceste tipuri de atacuri inițial, se pare că TeamTNT își dezvoltă operațiunile și acum s-a raportat că poate colecta acreditări Amazon Web Services (AWS) de la servere infectate.

Când TeamTNT a atras pentru prima dată atenția cercetătorilor în domeniul securității cibernetice, a vizat sisteme Docker care fuseseră configurate incorect în primul rând și aveau API la nivel de management fără protecție prin parolă lăsată deschisă pe Internet. Odată intrați în rețea, hackerii ar implementa servere care ar efectua operațiuni DDoS și cripto-mining.

Grupul criminal TeamTNT evoluează

De atunci, însă, hackerii au reușit să-și extindă operațiunile ramificându-se și adăugând instalații Kubernetes ca potențiale ținte. Mai important, potrivit cercetătorilor de securitate cibernetică de la Cado Security, TeamTNT a inclus un scanner care verifică serverele infectate și colectează acreditările AWS. Grupul de hackeri caută fișierele „/.aws/credentials” și „/.aws/config”, în special, le copiază și trimite ambele fișiere către serverul Command-and-Control (C2) utilizat pentru campania de atac. Trebuie remarcat faptul că ambele fișiere sunt criptate și stochează acreditările pentru infrastructura AWS sub formă de text simplu.

Deși se pare că TeamTNT nu a început încă să-și exploateze accesul la acreditările AWS, ar putea începe să facă acest lucru în orice moment, deoarece reprezintă o oportunitate monetară uriașă pentru ei. Hackerii ar putea pur și simplu să vândă acreditările colectate pentru câștiguri directe sau să le folosească pentru a-și extinde activitățile criminale în mod semnificativ, valorificând accesul potențial la clusterele AWS EC2 și instalând direct malware de cripto-mining.