- Регистрация
- 18.01.19
- Сообщения
- 1,603
- Депозит
- 60,333 ₽
- Сделки (гарант)
- 13
Майнер TeamTNT был обнаружен специалистами Trend Micro весной текущего года. По данным исследователей, эта малварь активна с апреля 2020 года и регулярно сканирует интернет в поисках неправильно настроенных установок Docker, чьей API доступен любому желающему. Операторы ботнета TeamTNT используют такие установки Docker для майнинга криптовалют и DDoS-атак.
На этой неделе исследователи из британской компании Cado Security опубликовали отчет, согласно которому, тактика TeamTNT немного изменилась за прошедшие месяцы, и малварь поучила новые функции. Исследователи рассказывают, что теперь малварь атакует не только Docker, но и Kubernetes. К тому же с недавних пор TeamTNT ищет на зараженных серверах учетные данные от Amazon Web Services и похищает их.
Так, если зараженные установки Docker и Kubernetes работают в инфраструктуре AWS, операторы TeamTNT осуществляют сканирование в поисках ~/.aws/credentials и ~/.aws/config, а затем копируют и отправляют оба этих файла на свой управляющий сервер. Данные файлы незашифрованы и в них, в формате простого текста, хранятся учетные данные для аккаунта и инфраструктуры AWS, а также содержатся сведения о конфигурации.
По данным экспертов Cado Security, пока злоумышленники не пытались как-либо использовать ворованные учетные данные. Дело в том, что исследователи передали на управляющий сервер TeamTNT партию собственных учтенных данных, но пока ни к одному из этих аккаунтов не пытались получить доступ третьи лица.
Тем не менее, исследователи полагают, что если злоумышленники решат монетизировать похищенные учетные данные, они с легкостью смогут установить свою майнинговую малварь в более мощные кластеры AWS EC2 или же попросту продадут ворованную информацию на черном рынке.
На этой неделе исследователи из британской компании Cado Security опубликовали отчет, согласно которому, тактика TeamTNT немного изменилась за прошедшие месяцы, и малварь поучила новые функции. Исследователи рассказывают, что теперь малварь атакует не только Docker, но и Kubernetes. К тому же с недавних пор TeamTNT ищет на зараженных серверах учетные данные от Amazon Web Services и похищает их.
Так, если зараженные установки Docker и Kubernetes работают в инфраструктуре AWS, операторы TeamTNT осуществляют сканирование в поисках ~/.aws/credentials и ~/.aws/config, а затем копируют и отправляют оба этих файла на свой управляющий сервер. Данные файлы незашифрованы и в них, в формате простого текста, хранятся учетные данные для аккаунта и инфраструктуры AWS, а также содержатся сведения о конфигурации.
По данным экспертов Cado Security, пока злоумышленники не пытались как-либо использовать ворованные учетные данные. Дело в том, что исследователи передали на управляющий сервер TeamTNT партию собственных учтенных данных, но пока ни к одному из этих аккаунтов не пытались получить доступ третьи лица.
Тем не менее, исследователи полагают, что если злоумышленники решат монетизировать похищенные учетные данные, они с легкостью смогут установить свою майнинговую малварь в более мощные кластеры AWS EC2 или же попросту продадут ворованную информацию на черном рынке.