TeamTNT Criminal Group

TeamTNT är namnet på en cyberbrottsgrupp som är specialiserad på kryptomining. Även om det inte fanns mycket att skilja dem från resten av de andra hackergrupperna som utförde dessa typer av attacker initialt, verkar det som om TeamTNT utvecklar sin verksamhet och har nu rapporterats kunna samla in Amazon Web Services (AWS)-referenser från infekterade servrar.

När TeamTNT först fångade cybersäkerhetsforskares uppmärksamhet riktade det sig främst mot Docker-system som hade konfigurerats felaktigt i första hand och som hade API på ledningsnivå utan lösenordsskydd som lämnats öppet till Internet. Väl inne i nätverket skulle hackarna distribuera servrar som skulle utföra DDoS- och kryptomining-operationer.

TeamTNT Criminal Group utvecklas

Sedan dess har hackarna dock lyckats utöka sin verksamhet genom att förgrena sig och lägga till Kubernetes-installationer som potentiella mål. Ännu viktigare, enligt cybersäkerhetsforskarna på Cado Security, har TeamTNT inkluderat en skanner som kontrollerar de infekterade servrarna och samlar in AWS-referenser. Hackergruppen letar efter filerna '/.aws/credentials' och '/.aws/config', i synnerhet, kopierar dem och skickar båda filerna till Command-and-Control-servern (C2) som användes för attackkampanjen. Det bör noteras att båda filerna är krypterade och lagrar referenser för AWS-infrastrukturen i klartext.

Även om det verkar som att TeamTNT ännu inte har börjat utnyttja deras tillgång till AWS-uppgifter, kan de börja göra det när som helst eftersom det representerar en enorm monetär möjlighet för dem. Hackarna kan helt enkelt sälja de insamlade uppgifterna för direkta vinster eller använda dem för att utöka sin kriminella verksamhet avsevärt genom att utnyttja den potentiella tillgången till AWS EC2-kluster och installera skadlig kod för kryptomining direkt.

Trendigt

Mest sedda

Läser in...