TeamTNT Criminal Group
TeamTNT 是一個專門從事加密挖掘操作的網絡犯罪組織的名稱。雖然他們與最初進行此類攻擊的其他黑客組織沒有什麼區別,但 TeamTNT 似乎正在改進其操作,並且據報導現在能夠從受感染的服務器。
當 TeamTNT 首次引起網絡安全研究人員的注意時,它主要針對的是 Docker 系統,這些系統主要配置不正確,並且沒有密碼保護的管理級 API 對互聯網開放。一旦進入網絡,黑客就會部署執行 DDoS 和加密挖掘操作的服務器。
TeamTNT 犯罪集團正在發展
然而,從那以後,黑客設法通過擴展和添加 Kubernetes 安裝作為潛在目標來擴展他們的業務。更重要的是,根據 Cado Security 的網絡安全研究人員的說法,TeamTNT 包含一個掃描程序,可以檢查受感染的服務器並收集 AWS 憑證。黑客組織查找“/.aws/credentials”和“/.aws/config”文件,特別是複制它們,並將這兩個文件發送到用於攻擊活動的命令和控制 (C2) 服務器。應該注意的是,這兩個文件都是加密的,並以明文形式存儲 AWS 基礎設施的憑證。
雖然 TeamTNT 似乎還沒有開始利用他們對 AWS 憑證的訪問權限,但他們可以隨時開始這樣做,因為這對他們來說是一個巨大的金錢機會。黑客可以簡單地出售收集到的憑證以獲得直接收益,或者通過利用對 AWS EC2 集群的潛在訪問權限並直接安裝加密挖掘惡意軟件來顯著擴大其犯罪活動。
