ทีมTNT Criminal Group

TeamTNT เป็นชื่อที่มอบให้กับกลุ่มอาชญากรไซเบอร์ที่เชี่ยวชาญในการดำเนินการขุดคริปโต แม้ว่าจะมีความแตกต่างเพียงเล็กน้อยจากกลุ่มแฮ็กเกอร์อื่นๆ ที่ดำเนินการโจมตีประเภทนี้ในขั้นต้น แต่ดูเหมือนว่า TeamTNT กำลังพัฒนาการดำเนินงานและขณะนี้ได้รับรายงานว่าสามารถรวบรวมข้อมูลประจำตัวของ Amazon Web Services (AWS) จาก เซิร์ฟเวอร์ที่ติดไวรัส

เมื่อ TeamTNT ได้รับความสนใจจากนักวิจัยด้านความปลอดภัยทางไซเบอร์ในครั้งแรก ทีมได้กำหนดเป้าหมายไปที่ระบบ Docker ที่ได้รับการกำหนดค่าอย่างไม่ถูกต้องเป็นหลัก และมี API ระดับการจัดการที่ไม่มีการป้องกันด้วยรหัสผ่านเปิดไว้บนอินเทอร์เน็ต เมื่อเข้าไปในเครือข่าย แฮกเกอร์จะปรับใช้เซิร์ฟเวอร์ที่จะดำเนินการ DDoS และการขุดเข้ารหัสลับ

TeamTNT Criminal Group กำลังพัฒนา

อย่างไรก็ตาม ตั้งแต่นั้นมา แฮ็กเกอร์ก็สามารถขยายการดำเนินงานได้ด้วยการแตกสาขาและเพิ่มการติดตั้ง Kubernetes เป็นเป้าหมายที่เป็นไปได้ ที่สำคัญกว่านั้น ตามที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Cado Security ระบุว่า TeamTNT ได้รวมสแกนเนอร์ที่ตรวจสอบเซิร์ฟเวอร์ที่ติดไวรัสและรวบรวมข้อมูลประจำตัว AWS กลุ่มแฮกเกอร์ค้นหาไฟล์ '/.aws/credentials' และ '/.aws/config' โดยเฉพาะอย่างยิ่ง คัดลอก และส่งไฟล์ทั้งสองไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ที่ใช้สำหรับแคมเปญโจมตี ควรสังเกตว่าทั้งสองไฟล์ได้รับการเข้ารหัสและจัดเก็บข้อมูลรับรองสำหรับโครงสร้างพื้นฐานของ AWS ในรูปแบบข้อความธรรมดา

ดูเหมือนว่า TeamTNT ยังไม่ได้เริ่มใช้ประโยชน์จากการเข้าถึงข้อมูลประจำตัวของ AWS พวกเขาสามารถเริ่มทำเช่นนั้นได้ทุกเมื่อเนื่องจากเป็นโอกาสทางการเงินมหาศาลสำหรับพวกเขา แฮ็กเกอร์สามารถขายข้อมูลประจำตัวที่รวบรวมมาเพื่อผลประโยชน์โดยตรงหรือใช้เพื่อขยายกิจกรรมทางอาญาอย่างมีนัยสำคัญโดยใช้ประโยชน์จากการเข้าถึงคลัสเตอร์ AWS EC2 ที่เป็นไปได้และติดตั้งมัลแวร์การขุดเข้ารหัสลับโดยตรง