26 de abril de 2024

O botnet TeamTNT rouba credenciais de servidores comprometidos na AWS

20 de agosto de 2020

O direcionamento frequente de ambientes de nuvem e contêineres é indicativo de uma vasta superfície de ataque para criminosos cibernéticos. Recentemente, os pesquisadores do Cado Security descobriram um worm de mineração de criptografia chamado ‘ TeamTNT ‘, contendo funcionalidades específicas do Amazon Web Services (AWS).

Ativo desde abril de 2020, TeamTNT atualizou seu modo de operação em meados de agosto.

  • TeamTNT adicionou um novo recurso de roubo de dados que permite aos invasores varrer e roubar credenciais da AWS. É o primeiro malware de botnet conhecido por verificar e roubar credenciais da AWS.
  • O worm também rouba credenciais locais e verifica a Internet em busca de sistemas Docker configurados incorretamente. 
  • Até agora, os invasores comprometeram muitos sistemas Docker e Kubernetes, juntamente com clusters Kubernetes e servidores de compilação Jenkins.

Pós-exploração

Além de atuar como um botnet e um worm, o TeamTNT usa o minerador XMRig para extrair a criptomoeda Monero. 

  • O worm também implanta vários malware abertamente disponíveis e ferramentas de segurança ofensivas, incluindo punk.py, Diamorphine Rootkit, Tsunami IRC backdoor e uma ferramenta de limpeza de log.
  • Duas carteiras Monero diferentes associadas a esses ataques mais recentes renderam à TeamTNT cerca de 3 XMR (aproximadamente US $ 300).

A similitude

De acordo com os pesquisadores, o pacote de malware do TeamTNT é um amálgama de outro worm chamado Kinsing, visto que os autores de malware copiam e colam o código de seus concorrentes. O worm Kinsing foi projetado para contornar as ferramentas de segurança do Alibaba Cloud. No início de abril de 2020, uma campanha de mineração de bitcoin usou o malware Kinsing para fazer a varredura em busca de APIs do Docker configuradas incorretamente, em seguida, acionar imagens do Docker e se instalar.

Resultado 

MalwareHunterTeam sinalizou o último conjunto de campanhas como um desenvolvimento único. É provável que outros worms comecem a copiar a capacidade de roubar credenciais da AWS. Para impedir esses ataques, as organizações devem considerar a revisão de suas configurações de segurança para evitar que as implantações da AWS sejam sequestradas. Além disso, monitorar o tráfego da rede e usar regras de firewall para limitar qualquer acesso às APIs do Docker também é recomendado.

Fonte: https://cyware.com/news/teamtnt-botnet-steals-aws-credentials-from-compromised-servers-e7a2d2d9

Tags: , , , ,

Matérias Relacionadas

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

15 de abril de 2024

Veja mais..

Na teia obscura, segredos médicos à venda

26 de abril de 2024

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024