TeamTNT Criminal Group

TeamTNT je ime, dano skupini za kibernetski kriminal, ki je specializirana za operacije rudarjenja kriptovalut. Čeprav jih je bilo malo, kar bi jih lahko razlikovalo od ostalih drugih hekerskih skupin, ki so na začetku izvajale te vrste napadov, se zdi, da TeamTNT razvija svoje delovanje in zdaj poročajo, da lahko zbira poverilnice Amazon Web Services (AWS) iz okuženih strežnikov.

Ko je TeamTNT prvič pritegnil pozornost raziskovalcev kibernetske varnosti, je ciljal na sisteme Docker, ki so bili primarno napačno konfigurirani in so imeli API na ravni upravljanja brez zaščite z geslom, ki je bil odprt za internet. Ko so v omrežju, bi hekerji namestili strežnike, ki bi izvajali DDoS in operacije kripto-rudarstva.

TeamTNT Criminal Group se razvija

Od takrat pa je hekerjem uspelo razširiti svoje delovanje z razvejanjem in dodajanjem naprav Kubernetes kot potencialnih tarč. Še pomembneje je, da je po mnenju raziskovalcev kibernetske varnosti pri Cado Security TeamTNT vključil skener, ki preverja okužene strežnike in zbira poverilnice AWS. Hekerska skupina išče datoteke '/.aws/credentials' in '/.aws/config', ju kopira in pošlje obe datoteki strežniku za upravljanje in nadzor (C2), ki se uporablja za napad. Opozoriti je treba, da sta obe datoteki šifrirani in shranita poverilnice za infrastrukturo AWS v obliki golega besedila.

Čeprav se zdi, da TeamTNT še ni začel izkoriščati svojega dostopa do poverilnic AWS, bi to lahko začeli početi v vsakem trenutku, saj zanje predstavlja ogromno denarno priložnost. Hekerji bi lahko preprosto prodali zbrane poverilnice za neposredne koristi ali jih uporabili za znatno razširitev svojih kriminalnih dejavnosti z izkoriščanjem potencialnega dostopa do grozdov AWS EC2 in neposredno namestitvijo zlonamerne programske opreme za kripto rudarjenje.