TeamTNT Criminal Group
TeamTNT 是一个专门从事加密挖掘操作的网络犯罪组织的名称。虽然他们与最初进行此类攻击的其他黑客组织没有什么区别,但 TeamTNT 似乎正在改进其操作,并且据报道现在能够从受感染的服务器。
当 TeamTNT 首次引起网络安全研究人员的注意时,它主要针对的是 Docker 系统,这些系统主要配置不正确,并且没有密码保护的管理级 API 对互联网开放。一旦进入网络,黑客就会部署执行 DDoS 和加密挖掘操作的服务器。
TeamTNT 犯罪集团正在发展
然而,从那以后,黑客设法通过扩展和添加 Kubernetes 安装作为潜在目标来扩展他们的业务。更重要的是,根据 Cado Security 的网络安全研究人员的说法,TeamTNT 包含一个扫描程序,可以检查受感染的服务器并收集 AWS 凭证。黑客组织查找“/.aws/credentials”和“/.aws/config”文件,特别是复制它们,并将这两个文件发送到用于攻击活动的命令和控制 (C2) 服务器。应该注意的是,这两个文件都是加密的,并以明文形式存储 AWS 基础设施的凭证。
虽然 TeamTNT 似乎还没有开始利用他们对 AWS 凭证的访问权限,但他们可以随时开始这样做,因为这对他们来说是一个巨大的金钱机会。黑客可以简单地出售收集到的凭证以获得直接收益,或者通过利用对 AWS EC2 集群的潜在访问权限并直接安装加密挖掘恶意软件来显着扩大其犯罪活动。
