Cacing penambangan kripto mencuri kredensial AWS
General

Cacing penambangan kripto mencuri kredensial AWS

TeamTNT

TeamTNT menempatkan logonya di terminal sistem yang diinfeksinya.

Gambar: Cado Security

Peneliti keamanan telah menemukan apa yang tampaknya menjadi yang pertama operasi malware penambangan kripto yang berisi fungsionalitas untuk mencuri kredensial AWS dari server yang terinfeksi.

Fitur pencurian information baru ini terlihat di malware yang digunakan oleh TeamTNT, grup kejahatan dunia maya yang menargetkan pemasangan Docker.

Grup tersebut telah aktif setidaknya sejak April, menurut penelitian diterbitkan awal tahun ini oleh firma keamanan Trend Micro.

Berdasarkan laporan tersebut, TeamTNT beroperasi dengan memindai net untuk sistem Docker yang telah salah konfigurasi dan membiarkan API manajemen mereka terbuka di net tanpa kata sandi.

Grup tersebut akan mengakses API dan menyebarkan waiter di dalam pemasangan Docker yang akan menjalankan DDoS dan malware penambangan kripto. Taktik mereka adalah tidak seunik sebagai beberapa kelompok kejahatan dunia maya lainnya menggunakan pedoman yang sama.

Tapi di a laporan baru diterbitkan 17 Agustus, firma keamanan Inggris Cado Security mengatakan geng TeamTNT baru-baru ini memperbarui moda operasinya.

Peneliti Cado mengatakan bahwa, selain fungsionalitas aslinya, TeamTNT kini juga telah memperluas serangannya untuk menargetkan instalasi Kubernetes.

TeamTNT sekarang mencuri kredensial AWS

Tetapi sementara memperluas foundation targetnya umumnya cukup penting, para peneliti Cado mengatakan bahkan ada pembaruan yang lebih besar – yaitu fitur baru yang memindai server yang terinfeksi untuk kredensial Amazon Web Services (AWS).

Jika sistem Docker dan Kubernetes yang terinfeksi berjalan di atas infrastruktur AWS, geng TeamTNT akan memindai ~ / .aws / qualifications dan ~ / .aws / config, dan menyalin serta mengunggah kedua document ke host perintah dan kontrolnya.

teamtnt-stealing.png "height =" auto "width =" 1200 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2020/08/17/69f53959-b98b-42a0-aca1-c6303e404d19 /resize/1200xauto/aa51177d0fd8daed649ac49b536d7369/teamtnt-stealing.png

Kode TeamTNT yang mencuri dan mengunggah kredensial AWS dan document konfigurasi.

Gambar: Cado Security

Kedua document ini tidak dienkripsi dan berisi kredensial teks biasa dan detail konfigurasi untuk akun dan infrastruktur AWS yang mendasarinya.

Peneliti Cado yakin penyerang belum pindah untuk menggunakan kredensial yang dicuri. Mereka mengatakan bahwa mereka mengirim kumpulan kredensial kenari ke host C&C TeamTNT, tetapi tidak satu pun dari akun tersebut yang telah diakses sebelum 17 Agustus, ketika mereka mempublikasikan penelitian mereka.

Namun demikian, ketika para penyerang memutuskan untuk melakukannya, TeamTNT berdiri untuk secara serius meningkatkan keuntungannya, baik dengan memasang malware penambangan kripto di tempat yang lebih kuat. AWS EC2 kluster secara langsung atau dengan menjual kredensial yang dicuri di pasar gelap.

Saat ini, Cado hanya memiliki pandangan terbatas ke dalam operasi TeamTNT, karena perusahaan keamanan hanya dapat melacak beberapa alamat dompet Monero yang digunakan grup untuk mengumpulkan dana yang ditambang. Sementara saat ini TeamTNT tampaknya hanya menghasilkan sekitar $ 300, kenyataannya adalah bahwa itu membuat berkali-kali lipat, karena botnet penambangan kripto biasanya menggunakan ribuan alamat dompet yang berbeda, untuk membuat pelacakan atau penyitaan dana lebih sulit.