駭客組織TeamsTNT利用挖礦蠕蟲從Docker或K8s中竊取AWS密碼

研究人員發現，一個名叫TeamsTNT的駭客組織利用挖礦蠕蟲軟體從受害企業的Docker和Kubernetes系統中竊取AWS的帳密和設定檔。

TeamTNT的挖礦殭屍網路5月首先被MalwareHunterTeam發現，之後趨勢科技又再發現它和設定不當的Docker容器之間的關聯性。

Cado Security研究人員指出，它是第一個在挖礦模組上具備竊取AWS帳密能力的蠕蟲。

研究人員發現這個殭屍網路程式利用已感染的伺服器啟動開原碼IP傳輸埠大量掃瞄執行個體，以掃瞄曝露在公開網路的Docker API，之後又發現它也會掃瞄Kubernetes，找到設定不當的伺服器，再自我植入。

TeamTNT感染伺服器後就會掃瞄系統中的/.aws/credential及/.aws/config資料夾下為AWS CLI所用、以明碼儲存帳密及設定資訊的未加密檔。找到後，TeamTNT就將這些檔案以curl上傳到攻擊者控制的C&C伺服器。

研究人員發現，攻擊者也會人工檢查AWS帳密，或許是因為其自動檢查機制效果不好。

此外TeamTNT也會在受害系統上部署XMRing CPU挖礦軟體，以挖取Monero幣(XMR)。

所有由此產出的現金都會傳送到攻擊者的Monero幣電子錢包，不過研究人員僅在這宗攻擊中發現2個錢包，當中有大約300美元的Monero幣。但研究人員相信總數應該更多，因為一般挖礦攻擊都會使用幾百個電子錢包來藏匿挖到的Monero幣。

研究人員認為，因為這類挖礦攻擊並不難，因此吸引許多歹徒對大量企業系統下手來賺取不法之財。

為防TeamTNT攻擊，Cado Security建議企業刪除任何以明碼儲存AWS帳密和設定資訊的檔案，利用防火牆白名單規則來封鎖Docker API存取管道，並且留心是否有用於挖礦常用的Stratum協定連線。