Threat Database Advanced Persistent Threat (APT) Злочинна група TeamTNT

Злочинна група TeamTNT

TeamTNT – це назва групи кіберзлочинів, яка спеціалізується на операціях з майнінгу криптовалют. Хоча спочатку їх мало що відрізняло від інших хакерських груп, які здійснювали такі типи атак, схоже, що TeamTNT розвиває свою діяльність і тепер, як повідомляється, може збирати облікові дані Amazon Web Services (AWS) з заражені сервери.

Коли TeamTNT вперше привернула увагу дослідників кібербезпеки, вона була націлена на системи Docker, які були налаштовані неправильно та мали API рівня керування без захисту паролем, що залишався відкритим для Інтернету. Потрапляючи в мережу, хакери розгортають сервери, які будуть виконувати операції з DDoS і крипто-майнінг.

Злочинна група TeamTNT розвивається

Однак з тих пір хакерам вдалося розширити свою діяльність, розгалужуючись і додаючи інсталяції Kubernetes як потенційні цілі. Що ще важливіше, за словами дослідників кібербезпеки з Cado Security, TeamTNT включив сканер, який перевіряє заражені сервери та збирає облікові дані AWS. Група хакерів шукає файли '/.aws/credentials' і '/.aws/config', зокрема, копіює їх і надсилає обидва файли на сервер командно-управління (C2), який використовується для кампанії атаки. Слід зазначити, що обидва файли зашифровані та зберігають облікові дані для інфраструктури AWS у вигляді відкритого тексту.

Хоча схоже, що TeamTNT ще не почала використовувати свій доступ до облікових даних AWS, вони можуть почати робити це в будь-який момент, оскільки це представляє для них величезну грошову можливість. Хакери можуть просто продати зібрані облікові дані для отримання прямої вигоди або використовувати їх для значного розширення своєї злочинної діяльності, використовуючи потенційний доступ до кластерів AWS EC2 і безпосередньо встановлюючи шкідливі програми для майнінгу криптовалют.

В тренді

Найбільше переглянуті

Завантаження...