Grupong Kriminal ng TeamTNT
Ang TeamTNT ay ang pangalang ibinigay sa isang cybercrime group na dalubhasa sa mga operasyon ng crypto-mining. Bagama't kakaunti ang pagkakaiba sa kanila mula sa iba pang grupo ng mga hacker na nagsasagawa ng mga ganitong uri ng pag-atake sa simula, lumilitaw na ang TeamTNT ay nagbabago ng mga operasyon nito at ngayon ay naiulat na nakakakolekta ng mga kredensyal ng Amazon Web Services (AWS) mula sa mga nahawaang server.
Noong unang nakuha ng TeamTNT ang atensyon ng mga mananaliksik sa cybersecurity, tina-target nito ang mga Docker system na pangunahing na-configure nang hindi tama at mayroong API sa antas ng pamamahala na walang proteksyon ng password na iniwang bukas sa Internet. Kapag nasa loob na ng network, ang mga hacker ay magde-deploy ng mga server na magsasagawa ng DDoS at crypto-mining operations.
Ang TeamTNT Criminal Group ay Umuunlad
Mula noon, gayunpaman, nagawa ng mga hacker na palawakin ang kanilang mga operasyon sa pamamagitan ng pagsasanga at pagdaragdag ng mga pag-install ng Kubernetes bilang mga potensyal na target. Higit sa lahat, ayon sa mga mananaliksik ng cybersecurity sa Cado Security, ang TeamTNT ay may kasamang scanner na sumusuri sa mga nahawaang server at nangongolekta ng mga kredensyal ng AWS. Hinahanap ng pangkat ng hacker ang mga '/.aws/credentials' at '/.aws/config' na mga file, sa partikular, ay kinokopya ang mga ito, at ipinapadala ang parehong mga file sa Command-and-Control (C2) server na ginamit para sa kampanya ng pag-atake. Dapat tandaan na ang parehong mga file ay naka-encrypt at nag-iimbak ng mga kredensyal para sa imprastraktura ng AWS sa plaintext form.
Bagama't lumalabas na ang TeamTNT ay hindi pa nagsimulang samantalahin ang kanilang pag-access sa mga kredensyal ng AWS, maaari nilang simulan ang paggawa nito anumang sandali dahil ito ay kumakatawan sa isang malaking pagkakataon sa pananalapi para sa kanila. Ang mga hacker ay maaaring ibenta lamang ang mga nakolektang kredensyal para sa mga direktang pakinabang o gamitin ang mga ito upang palawakin ang kanilang mga kriminal na aktibidad nang malaki sa pamamagitan ng paggamit ng potensyal na pag-access sa mga cluster ng AWS EC2 at direktang pag-install ng crypto-mining malware.
