TeamTNT đã trở thành botnet đầu tiên xây dựng được mạng lưới khai thác tiền điên tử có thể quét và đánh cắp thông tin đăng nhập AWS.
(TeamTNT đặt logo của mình trên máy chủ mà nó lây nhiễm)
Những nhà nghiên cứu về bảo mật đã phát hiện về mã độc có thể đánh cắp thông tin đăng nhập AWS từ máy chủ bị nhiễm. Đặc điểm đánh cắp dữ liệu mới này đã được phát hiện trong mã độc được sử dụng bởi TeamTNT, một nhóm tội phạm mang với mục tiêu là tấn công vào Docker. Nhóm này đã hoạt động ít nhất là vào đầu tháng 4.2020, theo nghiên cứu được công bố bởi công ty bảo mật Trend Micro vào đầu năm nay.
Theo báo cáo, TeamTNT hoạt động bằng cách dò quét trên internet để tìm các hệ thống Docker được thiết lập sai và không cài mật khẩu cho API quản lí. TeamTNT sẽ truy cập vào API và triển khai các máy chủ bên trong bản cài đặt Docker và sẽ chạy DDoS, cài đặt các phần mềm mã độc khai thác tiền điện tử. Chiến thuật của nhóm này cũng đã được thấy ở các nhóm tội phạm mạng trước đó.
Nhưng trong bản báo cáo mới nhất đã được công bố vào ngày 17/8, công ty bảo mật Cado Security của Anh đã cho biết rằng TeamTNT đã cập nhật lại hệ thống và phương thức tấn công của họ. Những nhà nghiên cứu của Cado cho biết, bên cạnh những chức năng ban đầu, TeamTNT hiện cũng đã mở rộng các cuộc tấn công nhằm vào các bản cài đặt của hệ thống Keberus.
tEamTNT hiện đánh cắp các thông tin đăng nhập của AWS
Nếu những hệ thống Docker và Keberus bị nhiễm chạy trên cơ sở hạ tầng của AWS, nhóm TeamTNT quét ~/.aws/credentials và ~/.aws/config ; đồng thời sao chép và tải cả 2 tệp lên máy chủ và điều khiển nó.
Những đoạn mã của TeamTNT dùng để đánh cắp và tải lên thông tin đăng nhập và các tập tin cấu hình
Cả 2 tệp này đều được mã hóa và chứa các nội dung thông tin đăng nhập và các cấu hình chi tiết của những tài khoản và cơ sở hạ tầng cơ bản AWS.
Các nhà nghiên cứu của Cado tin rằng những kẻ tấn công vẫn chưa sử dụng bất kì thông tin đăng nhập nào đã đánh cắp được. Họ cho biết họ đã gửi bộ sưu tập các thông tin đăng nhập đến máy chủ TeamTNT C&C, nhưng không có tài khoản nào được truy cập trước ngày 17/8, khi mà họ công bố nghiên cứu này. Tuy nhiên,khi những kẻ tấn công quyết định làm như vậy, TeamTNT sẽ đạt được mục tiêu tăng lợi nhuận của mình một cách nhanh chóng, bằng cách trực tiếp cài đặt những phần mềm độc hại khai thác tiền điện tử trong các cụm AWS EC2 hoặc bằng cách bán thông tin đăng nhập trên những thị trường chợ đen.
Hiện tại, Cado vẫn chưa nắm rõ về các hoạt động của TeamTNT, vì công ty bảo mật chỉ có thể theo dõi được một số địa chỉ ví Monero mà nhóm dùng để thu tiền khai thác được. Mặc dù hiện tại TeamTNT dường như chỉ kiếm được khoảng $300, nhưng thực tế thì họ kiếm được nhiều hơn như vậy, vì các mạng lưới khai thác tiền điện tử thường được sử dụng hàng nghìn ví điện tử khác nhau để làm cho việc theo dõi trở nên khó khăn hơn.
Nguồn: Zdnet
