Categories: AMEAÇAS ATUAIS

O botnet TeamTNT rouba credenciais de servidores comprometidos na AWS

Ativo desde abril de 2020, TeamTNT atualizou seu modo de operação em meados de agosto.

  • TeamTNT adicionou um novo recurso de roubo de dados que permite aos invasores varrer e roubar credenciais da AWS. É o primeiro malware de botnet conhecido por verificar e roubar credenciais da AWS.
  • O worm também rouba credenciais locais e verifica a Internet em busca de sistemas Docker configurados incorretamente.
  • Até agora, os invasores comprometeram muitos sistemas Docker e Kubernetes, juntamente com clusters Kubernetes e servidores de compilação Jenkins.

Pós-exploração

Além de atuar como um botnet e um worm, o TeamTNT usa o minerador XMRig para extrair a criptomoeda Monero. 

  • O worm também implanta vários malware abertamente disponíveis e ferramentas de segurança ofensivas, incluindo punk.py, Diamorphine Rootkit, Tsunami IRC backdoor e uma ferramenta de limpeza de log.
  • Duas carteiras Monero diferentes associadas a esses ataques mais recentes renderam à TeamTNT cerca de 3 XMR (aproximadamente US $ 300).

A similitude

De acordo com os pesquisadores, o pacote de malware do TeamTNT é um amálgama de outro worm chamado Kinsing, visto que os autores de malware copiam e colam o código de seus concorrentes. O worm Kinsing foi projetado para contornar as ferramentas de segurança do Alibaba Cloud. No início de abril de 2020, uma campanha de mineração de bitcoin usou o malware Kinsing para fazer a varredura em busca de APIs do Docker configuradas incorretamente, em seguida, acionar imagens do Docker e se instalar.

Resultado

MalwareHunterTeam sinalizou o último conjunto de campanhas como um desenvolvimento único. É provável que outros worms comecem a copiar a capacidade de roubar credenciais da AWS. Para impedir esses ataques, as organizações devem considerar a revisão de suas configurações de segurança para evitar que as implantações da AWS sejam sequestradas. Além disso, monitorar o tráfego da rede e usar regras de firewall para limitar qualquer acesso às APIs do Docker também é recomendado.

Fonte: https://cyware.com/news/teamtnt-botnet-steals-aws-credentials-from-compromised-servers-e7a2d2d9

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja
Tags: awsleakcyberwarleakteamtnttntmalware
5 anos ago

Recent Posts

Instalador falso do AnyDesk espalha o MetaStealer por meio do golpe ClickFix

Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…

5 dias ago

Atores de ameaças abusam da IA ​​Grok do X para espalhar links maliciosos

Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…

5 dias ago

WinRAR 0day: Explorações em andamento

As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.

4 semanas ago

Escritórios do governo na Carolina do Norte, Geórgia, sofrem ataques cibernéticos

Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…

3 meses ago

Nytheon AI Tool está ganhando tração em forums de Hacking

O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…

3 meses ago

Nova Vulnerabilidade 0day de Injection no Salesforce SOQL Expõe Milhões de Implantações

Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…

3 meses ago