Le malware de crypto-mining utilisé par le groupe de cybercriminalité TeamTNT a été mis à jour avec une nouvelle fonctionnalité qui lui permet de voler les informations d'identification AWS des serveurs infectés.
Le groupe fonctionne depuis au moins avril de cette année selon un rapport de Trend Micro, dont les chercheurs ont découvert son mineur de cypto-monnaie ainsi qu'un bot DDoS utilisé pour cibler les systèmes Docker tout en enquêtant sur un répertoire ouvert contenant des fichiers malveillants découverts pour la première fois par MalwareHunterTeam.
TeamTNT scanne Internet à la recherche de défauts de configuration API Docker qui ont été laissées exposées en ligne sans mot de passe. Lorsque le groupe trouve un système Docker vulnérable, il déploie des serveurs à l'intérieur de l'installation pour lancer des attaques DDoS et exécuter des logiciels malveillants de crypto-mining.
Cependant, TeamTNT n'est que l'un des nombreux gangs de cybercriminalité qui emploie des tactiques similaires pour tirer parti des organisations dont les systèmes ne sont pas correctement sécurisés en ligne.
Sommaire
Première crypto-monnaie, maintenant informations d'identification
Selon un nouveau rapport de la société de sécurité britannique Cado Security, TeamTNT a élargi la portée de ses logiciels malveillants pour cibler les installations Kubernetes tout en ajoutant une nouvelle fonctionnalité qui analyse les serveurs infectés à la recherche d'informations d'identification AWS.
Si un système Docker ou Kubernetes infecté s'exécute sur l'infrastructure AWS, le groupe recherche les informations d'identification AWS et les fichiers de configuration, les copie, puis les télécharge sur son serveur de commande et de contrôle. Pour aggraver les choses, les fichiers ~ / .aws / credentials et ~ / .aws / config volés par TeamTNT ne sont pas chiffrés et contiennent des informations d'identification en texte clair et des détails de configuration pour le compte AWS et l'infrastructure d'une cible.
Heureusement, le groupe n'a encore utilisé aucune des informations d'identification volées selon les chercheurs de Cabo Security qui ont envoyé une collection d'informations d'identification Canary à son serveur C&C qui n'ont pas encore été utilisées.
Team TNT et son malware de crypto-minage constituent une menace sérieuse pour les organisations car le groupe sera probablement en mesure d'augmenter ses bénéfices de manière significative en vendant les informations d'identification volées ou en les utilisant pour extraire de la crypto-monnaie supplémentaire.
Via ZDNet
