Sâu khai thác tiền điện tử đánh cắp thông tin đăng nhập AWS

TNP
12:14 27/08/2020

 

TeamTNT đã trở thành botnet đầu tiên xây dựng được mạng lưới khai thác tiền điên tử có thể quét và đánh cắp thông tin đăng nhập AWS.

(TeamTNT đặt logo của mình trên máy chủ mà nó lây nhiễm)

Những nhà nghiên cứu về bảo mật đã phát hiện về mã độc có thể đánh cắp thông tin đăng nhập AWS từ máy chủ bị nhiễm. Đặc điểm đánh cắp dữ liệu mới này đã được phát hiện trong mã độc được sử dụng bởi TeamTNT, một nhóm tội phạm mang với mục tiêu là tấn công vào Docker. Nhóm này đã hoạt động ít nhất là vào đầu tháng 4.2020, theo nghiên cứu được công bố bởi công ty bảo mật Trend Micro vào đầu năm nay.

Theo báo cáo, TeamTNT hoạt động bằng cách dò quét trên internet để tìm các hệ thống Docker được thiết lập sai và không cài mật khẩu cho API quản lí. TeamTNT sẽ truy cập vào API và triển khai các máy chủ bên trong bản cài đặt Docker và sẽ chạy DDoS, cài đặt các phần mềm mã độc khai thác tiền điện tử. Chiến thuật của nhóm này cũng đã được thấy ở các nhóm tội phạm mạng trước đó.

Nhưng trong bản báo cáo mới nhất đã được công bố vào ngày 17/8, công ty bảo mật Cado Security của Anh đã cho biết rằng TeamTNT đã cập nhật lại hệ thống và phương thức tấn công của họ. Những nhà nghiên cứu của Cado cho biết, bên cạnh những chức năng ban đầu, TeamTNT hiện cũng đã mở rộng các cuộc tấn công nhằm vào các bản cài đặt của hệ thống Keberus.

tEamTNT hiện đánh cắp các thông tin đăng nhập của AWS

Nếu những hệ thống Docker và Keberus bị nhiễm chạy trên cơ sở hạ tầng của AWS, nhóm TeamTNT quét ~/.aws/credentials và ~/.aws/config ; đồng thời sao chép và tải cả 2 tệp lên máy chủ và điều khiển nó.

Những đoạn mã của TeamTNT dùng để đánh cắp và tải lên thông tin đăng nhập và các tập tin cấu hình

Cả 2 tệp này đều được mã hóa và chứa các nội dung thông tin đăng nhập và các cấu hình chi tiết của những tài khoản và cơ sở hạ tầng cơ bản AWS.

Các nhà nghiên cứu của Cado tin rằng những kẻ tấn công vẫn chưa sử dụng bất kì thông tin đăng nhập nào đã đánh cắp được. Họ cho biết họ đã gửi bộ sưu tập các thông tin đăng nhập đến máy chủ TeamTNT C&C, nhưng không có tài khoản nào được truy cập trước ngày 17/8, khi mà họ công bố nghiên cứu này. Tuy nhiên,khi những kẻ tấn công quyết định làm như vậy, TeamTNT sẽ đạt được mục tiêu tăng lợi nhuận của mình một cách nhanh chóng, bằng cách trực tiếp cài đặt những phần mềm độc hại khai thác tiền điện tử trong các cụm AWS EC2 hoặc bằng cách bán thông tin đăng nhập trên những thị trường chợ đen.

Hiện tại, Cado vẫn chưa nắm rõ về các hoạt động của TeamTNT, vì công ty bảo mật chỉ có thể theo dõi được một số địa chỉ ví Monero mà nhóm dùng để thu tiền khai thác được. Mặc dù hiện tại TeamTNT dường như chỉ kiếm được khoảng $300, nhưng thực tế thì họ kiếm được nhiều hơn như vậy, vì các mạng lưới khai thác tiền điện tử thường được sử dụng hàng nghìn ví điện tử khác nhau để làm cho việc theo dõi trở nên khó khăn hơn.

Nguồn: Zdnet

 

TIN LIÊN QUAN
Các dự án trên Xcode đang được khai thác để lan truyền một dạng phần mềm độc hại trên Mac có nguy cơ xâm phạm Safari và các trình duyệt khác   Trend Micro cho biết: các nhóm phần mềm độc hại XCSSET đã được tìm thấy trong các dự...
  Các nhà nghiên cứu: “Nói cách khác, mã PIN vô dụng trong các giao dịch không tiếp xúc (không chạm – contactless payment) với thẻ Visa.” Một nhóm nghiên cứu học thuật từ Thụy Sĩ đã phát hiện ra một lỗi bảo mật có thể bị lạm dụng để...
Android là hệ điều hành di động phổ biến nhất trên thế giới và chiếm 74% thị phần điện thoại thông minh toàn cầu. Do đó, Android là mục tiêu hàng đầu của tất cả các loại phần mềm độc hại và tấn công mạng. Vấn đề phần mềm độc...