Νέο crypto-mining malware κλέβει AWS credentials


crypto-mining
Οι ερευνητές ασφαλείας ανακάλυψαν μια νέα crypto-mining επιχείρηση που διαθέτει δυνατότητα για κλοπή AWS credentials από μολυσμένους servers. Πρόκειται για το πρώτο crypto-mining malware που έχει αυτή τη δυνατότητα.

Αυτή η νέα δυνατότητα κλοπής δεδομένων εντοπίστηκε στο crypto-mining malware που χρησιμοποιεί η TeamTNT, μια κακόβουλη hacking ομάδα που στοχεύει Docker εγκαταστάσεις.
Η συγκεκριμένη ομάδα δραστηριοποιείται τουλάχιστον από τον Απρίλιο, σύμφωνα με μια αναφορά που δημοσιεύθηκε από την εταιρεία ασφαλείας Trend Micro.
Σύμφωνα με την έκθεση των ερευνητών, η TeamTNT σαρώνει το Διαδίκτυο για συστήματα Docker που έχουν αφήσει το API διαχείρισής τους εκτεθειμένο στο Διαδίκτυο χωρίς κωδικό πρόσβασης.

Η ομάδα, στη συνέχεια, αποκτά πρόσβαση στο API και αναπτύσσει servers μέσα στην εγκατάσταση Docker που εκτελούν DDoS και crypto-mining malware. Οι τακτικές των hackers δεν είναι μοναδικές. Πολλές άλλες hacking ομάδες χρησιμοποιούν αυτές τις μεθόδους.
Ωστόσο, σε μια νέα έκθεση που δημοσιεύθηκε στις 17 Αυγούστου, η εταιρεία ασφαλείας του Ηνωμένου Βασιλείου, Cado Security, αναφέρει ότι η συμμορία TeamTNT είχε αναβαθμίσει τον τρόπο λειτουργίας της.
Οι ερευνητές ασφαλείας λένε ότι, εκτός από τις βασικές τους δραστηριότητες, οι hackers της TeamTNT έχουν αρχίσει να πραγματοποιούν επιθέσεις, που στοχεύσουν εγκαταστάσεις Kubernetes.

Η TeamTNT κλέβει τώρα AWS credentials

Πέρα από τις επιθέσεις σε νέους στόχους, οι ερευνητές της Cado δήλωσαν ότι το crypto-mining malware της TeamTNT διαθέτει μια νέα δυνατότητα που σαρώνει τους υποκείμενους μολυσμένους servers για την εύρεση και κλοπή Amazon Web Services (AWS) credentials.
Εάν τα μολυσμένα συστήματα Docker και Kubernetes εκτελούνται σε υποδομή AWS, η συμμορία TeamTNT σαρώνει για ~/.aws/credentials and ~/.aws/config και αντιγράφει και ανεβάζει και τα δύο αρχεία στον command-and-control server της.

AWS credentials
Και τα δύο αυτά αρχεία δεν είναι κρυπτογραφημένα και περιέχουν credentials και λεπτομέρειες διαμόρφωσης για τον υποκείμενο λογαριασμό AWS (και την υποδομή) σε απλό κείμενο.
Οι ερευνητές ασφαλείας πιστεύουν ότι οι επιτιθέμενοι δεν έχουν χρησιμοποιήσει ακόμα τα κλεμμένα AWS credentials. Είπαν ότι έστειλαν canary credentials στον C&C server της TeamTNT, αλλά κανένας από αυτούς τους λογαριασμούς δεν είχε ανοιχτεί πριν από τις 17 Αυγούστου, όταν δημοσίευσαν την έρευνά τους.
Παρ’ όλα αυτά, η TeamTNT αναμένεται να αυξήσει σοβαρά τα κέρδη της, είτε εγκαθιστώντας crypto-mining malware σε ισχυρότερα AWS EC2 clusters είτε πωλώντας τα κλεμμένα credentials στη μαύρη αγορά. Αυτήν τη στιγμή, η Cado δεν έχει πλήρη εικόνα της νέας crypto-mining επιχείρησης της TeamTNT, καθώς η εταιρεία ασφαλείας μπόρεσε να παρακολουθήσει μόνο μερικές από τις διευθύνσεις των Monero wallets που χρησιμοποιεί η ομάδα για να συλλέξει τα cryptocurrencies.

από secnews.gr

Δημοσίευση σχολίου

0 Σχόλια