O botnet TeamTNT rouba credenciais de servidores comprometidos na AWS

Ativo desde abril de 2020, TeamTNT atualizou seu modo de operação em meados de agosto.

• TeamTNT adicionou um novo recurso de roubo de dados que permite aos invasores varrer e roubar credenciais da AWS. É o primeiro malware de botnet conhecido por verificar e roubar credenciais da AWS.
• O worm também rouba credenciais locais e verifica a Internet em busca de sistemas Docker configurados incorretamente.
• Até agora, os invasores comprometeram muitos sistemas Docker e Kubernetes, juntamente com clusters Kubernetes e servidores de compilação Jenkins.

Pós-exploração

Além de atuar como um botnet e um worm, o TeamTNT usa o minerador XMRig para extrair a criptomoeda Monero. 

• O worm também implanta vários malware abertamente disponíveis e ferramentas de segurança ofensivas, incluindo punk.py, Diamorphine Rootkit, Tsunami IRC backdoor e uma ferramenta de limpeza de log.
• Duas carteiras Monero diferentes associadas a esses ataques mais recentes renderam à TeamTNT cerca de 3 XMR (aproximadamente US $ 300).

A similitude

De acordo com os pesquisadores, o pacote de malware do TeamTNT é um amálgama de outro worm chamado Kinsing, visto que os autores de malware copiam e colam o código de seus concorrentes. O worm Kinsing foi projetado para contornar as ferramentas de segurança do Alibaba Cloud. No início de abril de 2020, uma campanha de mineração de bitcoin usou o malware Kinsing para fazer a varredura em busca de APIs do Docker configuradas incorretamente, em seguida, acionar imagens do Docker e se instalar.

Resultado

MalwareHunterTeam sinalizou o último conjunto de campanhas como um desenvolvimento único. É provável que outros worms comecem a copiar a capacidade de roubar credenciais da AWS. Para impedir esses ataques, as organizações devem considerar a revisão de suas configurações de segurança para evitar que as implantações da AWS sejam sequestradas. Além disso, monitorar o tráfego da rede e usar regras de firewall para limitar qualquer acesso às APIs do Docker também é recomendado.

Fonte: https://cyware.com/news/teamtnt-botnet-steals-aws-credentials-from-compromised-servers-e7a2d2d9