มัลแวร์ Cryptomining ที่ใช้โดยกลุ่มอาชญากรรมไซเบอร์ TeamTNT ได้รับการอัปเดตด้วยคุณสมบัติใหม่ที่อนุญาตให้ขโมยข้อมูลรับรอง AWS จากเซิร์ฟเวอร์ที่ติดไวรัส
กลุ่มนี้เปิดดำเนินการตั้งแต่อย่างน้อยในเดือนเมษายนของปีนี้ตามรายงานของ Trend Micro ซึ่งนักวิจัยค้นพบเครื่องมือขุดเหมือง cryptocurrency ด้วยบอท DDoS ที่ใช้ในการโจมตีระบบ Docker ในขณะที่ตรวจสอบไดเร็กทอรีเปิดที่มีไฟล์ที่เป็นอันตรายที่ค้นพบ ครั้งแรกโดย MalwareHunterTeam
TeamTNT สแกนอินเทอร์เน็ตเพื่อหา Docker API ที่กำหนดค่าไม่ถูกต้องซึ่งถูกเปิดเผยทางออนไลน์โดยไม่ต้องใช้รหัสผ่าน เมื่อกลุ่มพบระบบ Docker ที่มีช่องโหว่ กลุ่มจะใช้เซิร์ฟเวอร์ภายในสถานที่เพื่อเปิดการโจมตี DDoS และเรียกใช้มัลแวร์การขุด crypto
อย่างไรก็ตาม TeamTNT เป็นเพียงหนึ่งในแก๊งอาชญากรรมไซเบอร์จำนวนมากที่ใช้กลยุทธ์ที่คล้ายกันเพื่อใช้ประโยชน์จากองค์กรที่ระบบไม่ได้รับการปกป้องทางออนไลน์อย่างเหมาะสม
Cryptocurrency แรก ตอนนี้เป็นข้อมูลประจำตัว
ตามรายงานใหม่จากบริษัทรักษาความปลอดภัยสัญชาติอังกฤษ Cado Security ระบุว่า TeamTNT ได้ขยายการเข้าถึงมัลแวร์เพื่อกำหนดเป้าหมายการติดตั้ง Kubernetes ในขณะที่เพิ่มคุณสมบัติใหม่ที่สแกนเซิร์ฟเวอร์ที่ติดไวรัสเพื่อหาข้อมูลรับรอง AWS
หากระบบ Docker หรือ Kubernetes ที่ติดไวรัสทำงานบนโครงสร้างพื้นฐาน AWS คลัสเตอร์จะค้นหาข้อมูลประจำตัว AWS และไฟล์การกำหนดค่า คัดลอกไฟล์เหล่านั้น จากนั้นอัปโหลดไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม ที่แย่กว่านั้น ไฟล์ ~/.aws/credentials และ ~/.aws/config ที่ถูกขโมยโดย TeamTNT จะไม่ได้รับการเข้ารหัส และมีข้อมูลรับรองข้อความที่ชัดเจนและรายละเอียดการกำหนดค่าสำหรับบัญชี AWS และโครงสร้างพื้นฐาน ของเป้าหมาย
โชคดีที่กลุ่มยังไม่ได้ใช้ข้อมูลประจำตัวที่ถูกขโมยตามที่นักวิจัยของ Cabo Security ซึ่งได้ส่งชุดข้อมูลประจำตัว Canary ไปยังเซิร์ฟเวอร์ C&C ที่ยังไม่ได้ใช้
ทีม TNT และมัลแวร์การขุด crypto ก่อให้เกิดภัยคุกคามร้ายแรงต่อองค์กร เนื่องจากกลุ่มมีแนวโน้มที่จะเพิ่มผลกำไรอย่างมีนัยสำคัญโดยการขายข้อมูลรับรองที่ถูกขโมยหรือใช้พวกมันเพื่อขุด cryptocurrency เพิ่มเติม.
ผ่านทาง ZDNet