Майнер TeamTNT был обнаружен специалистами Trend Micro весной текущего года. По данным исследователей, эта малварь активна с апреля 2020 года и регулярно сканирует интернет в поисках неправильно настроенных установок Docker, чьей API доступен любому желающему. Операторы ботнета TeamTNT используют такие установки Docker для майнинга криптовалют и DDoS-атак.
На этой неделе исследователи из британской компании Cado Security опубликовали отчет, согласно которому, тактика TeamTNT немного изменилась за прошедшие месяцы, и малварь поучила новые функции. Исследователи рассказывают, что теперь малварь атакует не только Docker, но и Kubernetes. К тому же с недавних пор TeamTNT ищет на зараженных серверах учетные данные от Amazon Web Services и похищает их.
Так, если зараженные установки Docker и Kubernetes работают в инфраструктуре AWS, операторы TeamTNT осуществляют сканирование в поисках ~/.aws/credentials и ~/.aws/config, а затем копируют и отправляют оба этих файла на свой управляющий сервер. Данные файлы незашифрованы и в них, в формате простого текста, хранятся учетные данные для аккаунта и инфраструктуры AWS, а также содержатся сведения о конфигурации.
По данным экспертов Cado Security, пока злоумышленники не пытались как-либо использовать ворованные учетные данные. Дело в том, что исследователи передали на управляющий сервер TeamTNT партию собственных учтенных данных, но пока ни к одному из этих аккаунтов не пытались получить доступ третьи лица.
Тем не менее, исследователи полагают, что если злоумышленники решат монетизировать похищенные учетные данные, они с легкостью смогут установить свою майнинговую малварь в более мощные кластеры AWS EC2 или же попросту продадут ворованную информацию на черном рынке.
Источник: xakep