TeamTNT Criminal Group

TeamTNT, kripto madenciliği operasyonlarında uzmanlaşmış bir siber suç grubuna verilen isimdir. Başlangıçta bu tür saldırıları gerçekleştiren diğer hacker gruplarından ayırt etmek için çok az şey olsa da, TeamTNT'nin operasyonlarını geliştirdiği ve şimdi Amazon Web Services (AWS) kimlik bilgilerini şu adresten toplayabildiği bildiriliyor. virüslü sunucular

TeamTNT, siber güvenlik araştırmacılarının ilk dikkatini çektiğinde, öncelikle yanlış yapılandırılmış ve şifre koruması olmayan yönetim düzeyinde API'si internete açık bırakılmış Docker sistemlerini hedef alıyordu. Ağın içine girdikten sonra, bilgisayar korsanları DDoS ve kripto madenciliği operasyonlarını gerçekleştirecek sunucular kuracaktı.

TeamTNT Suç Grubu Gelişiyor

Ancak o zamandan beri bilgisayar korsanları, şubelere ayrılarak ve Kubernetes kurulumlarını potansiyel hedefler olarak ekleyerek operasyonlarını genişletmeyi başardılar. Daha da önemlisi, Cado Security'deki siber güvenlik araştırmacılarına göre TeamTNT, virüslü sunucuları kontrol eden ve AWS kimlik bilgilerini toplayan bir tarayıcı içeriyor. Hacker grubu, özellikle '/.aws/credentials' ve '/.aws/config' dosyalarını arar, kopyalar ve her iki dosyayı da saldırı kampanyası için kullanılan Komuta ve Kontrol (C2) sunucusuna gönderir. Her iki dosyanın da şifreli olduğu ve AWS altyapısı için kimlik bilgilerini düz metin biçiminde depoladığı belirtilmelidir.

TeamTNT henüz AWS kimlik bilgilerine erişimlerinden yararlanmaya başlamamış gibi görünse de, onlar için büyük bir parasal fırsat olduğu için bunu her an yapmaya başlayabilirler. Bilgisayar korsanları, toplanan kimlik bilgilerini doğrudan kazanç için satabilir veya AWS EC2 kümelerine potansiyel erişimden yararlanarak ve doğrudan kripto madenciliği kötü amaçlı yazılım yükleyerek suç faaliyetlerini önemli ölçüde genişletmek için kullanabilir.