Криминальная группа TeamTNT

TeamTNT — это название, данное группе киберпреступников, которая специализируется на операциях по добыче криптовалюты. Хотя изначально их мало что отличало от остальных хакерских групп, проводивших эти типы атак, похоже, что TeamTNT развивает свои операции и теперь, как сообщается, может собирать учетные данные Amazon Web Services (AWS) из зараженные серверы.

Когда TeamTNT впервые привлекла внимание исследователей кибербезопасности, она была нацелена на системы Docker, которые были в первую очередь неправильно настроены и имели API уровня управления без защиты паролем, оставленный открытым для Интернета. Оказавшись внутри сети, хакеры будут развертывать серверы, которые будут выполнять операции DDoS и крипто-майнинга.

Преступная группа TeamTNT развивается

Однако с тех пор хакерам удалось расширить свои операции, расширившись и добавив установки Kubernetes в качестве потенциальных целей. Что еще более важно, по словам исследователей кибербезопасности из Cado Security, TeamTNT включает сканер, который проверяет зараженные серверы и собирает учетные данные AWS. Группа хакеров ищет, в частности, файлы «/.aws/credentials» и «/.aws/config», копирует их и отправляет оба файла на сервер Command-and-Control (C2), используемый для кампании атаки. Следует отметить, что оба файла зашифрованы и хранят учетные данные для инфраструктуры AWS в виде открытого текста.

Хотя кажется, что TeamTNT еще не начала использовать свой доступ к учетным данным AWS, они могут начать это делать в любой момент, поскольку это представляет для них огромные финансовые возможности. Хакеры могли просто продать собранные учетные данные для прямой выгоды или использовать их для значительного расширения своей преступной деятельности, используя потенциальный доступ к кластерам AWS EC2 и напрямую устанавливая вредоносное ПО для криптомайнинга.