駭客組織 TeamsTNT 利用挖礦蠕蟲從 Docker 或 K8s 中竊取 AWS 密碼

研究人員發現，一個名叫TeamsTNT的駭客組織利用挖礦蠕蟲軟體從受害企業的Docker和Kubernetes系統中竊取AWS的帳密和設定檔。

研究人員發現，一個名叫 TeamsTNT 的駭客組織利用挖礦蠕蟲軟體從受害企業的 Docker 和 Kubernetes 系統中竊取 AWS 的帳密和設定檔。

TeamTNT 的挖礦殭屍網路 5 月首先被 MalwareHunterTeam 發現，之後趨勢科技又再發現它和設定不當的 Docker 容器之間的關聯性。

Cado Security 研究人員指出，它是第一個在挖礦模組上具備竊取 AWS 帳密能力的蠕蟲。

研究人員發現這個殭屍網路程式利用已感染的伺服器啟動開原碼 IP 傳輸埠大量掃瞄執行個體，以掃瞄曝露在公開網路的 Docker API，之後又發現它也會掃瞄 Kubernetes，找到設定不當的伺服器，再自我植入。

TeamTNT 感染伺服器後就會掃瞄系統中的/.aws/credential 及/.aws/config 資料夾下為 AWS CLI 所用、以明碼儲存帳密及設定資訊的未加密檔。找到後，TeamTNT 就將這些檔案以 curl 上傳到攻擊者控制的 C&C 伺服器。

研究人員發現，攻擊者也會人工檢查 AWS 帳密，或許是因為其自動檢查機制效果不好。

此外 TeamTNT 也會在受害系統上部署 XMRing CPU 挖礦軟體，以挖取 Monero 幣 (XMR)。

所有由此產出的現金都會傳送到攻擊者的 Monero 幣電子錢包，不過研究人員僅在這宗攻擊中發現 2 個錢包，當中有大約 300 美元的 Monero 幣。但研究人員相信總數應該更多，因為一般挖礦攻擊都會使用幾百個電子錢包來藏匿挖到的 Monero 幣。

研究人員認為，因為這類挖礦攻擊並不難，因此吸引許多歹徒對大量企業系統下手來賺取不法之財。

為防 TeamTNT 攻擊，Cado Security 建議企業刪除任何以明碼儲存 AWS 帳密和設定資訊的檔案，利用防火牆白名單規則來封鎖 Docker API 存取管道，並且留心是否有用於挖礦常用的 Stratum 協定連線。