Nhóm tội phạm TeamTNT

TeamTNT là tên được đặt cho một nhóm tội phạm mạng chuyên thực hiện các hoạt động khai thác tiền điện tử. Mặc dù có rất ít điểm để phân biệt chúng với phần còn lại của các nhóm tin tặc khác thực hiện các kiểu tấn công này ban đầu, nhưng có vẻ như TeamTNT đang phát triển các hoạt động của mình và hiện đã được báo cáo là có thể thu thập thông tin đăng nhập của Amazon Web Services (AWS) từ máy chủ bị nhiễm.

Khi TeamTNT lần đầu tiên thu hút sự chú ý của các nhà nghiên cứu an ninh mạng, nó đã nhắm mục tiêu vào các hệ thống Docker chủ yếu được định cấu hình không chính xác và có API cấp quản lý mà không có mật khẩu bảo vệ bị bỏ ngỏ trên Internet. Khi vào trong mạng, tin tặc sẽ triển khai các máy chủ thực hiện DDoS và hoạt động khai thác tiền điện tử.

Nhóm tội phạm TeamTNT đang phát triển

Tuy nhiên, kể từ đó, các tin tặc đã tìm cách mở rộng hoạt động của mình bằng cách phân nhánh và thêm các cài đặt Kubernetes làm mục tiêu tiềm năng. Quan trọng hơn, theo các nhà nghiên cứu an ninh mạng tại Cado Security, TeamTNT đã bao gồm một máy quét để kiểm tra các máy chủ bị nhiễm và thu thập thông tin đăng nhập AWS. Nhóm hacker này đặc biệt tìm kiếm các tệp '/.aws/credentials' và '/.aws/config', sao chép chúng và gửi cả hai tệp đến máy chủ Command-and-Control (C2) được sử dụng cho chiến dịch tấn công. Cần lưu ý rằng cả hai tệp đều được mã hóa và lưu trữ thông tin xác thực cho cơ sở hạ tầng AWS ở dạng bản rõ.

Mặc dù có vẻ như TeamTNT vẫn chưa bắt đầu khai thác quyền truy cập của họ vào thông tin đăng nhập AWS, nhưng họ có thể bắt đầu làm như vậy bất cứ lúc nào vì nó thể hiện một cơ hội kiếm tiền lớn cho họ. Các tin tặc có thể chỉ cần bán thông tin đăng nhập đã thu thập được để thu lợi trực tiếp hoặc sử dụng chúng để mở rộng đáng kể các hoạt động tội phạm của mình bằng cách tận dụng quyền truy cập tiềm năng vào các cụm AWS EC2 và cài đặt trực tiếp phần mềm độc hại khai thác tiền điện tử.