駭客組織TeamsTNT利用挖礦蠕蟲從Docker或K8s中竊取AWS密碼

研究人員發現,一個名叫TeamsTNT的駭客組織利用挖礦蠕蟲軟體從受害企業的Docker和Kubernetes系統中竊取AWS的帳密和設定檔。

研究人員發現,一個名叫TeamsTNT的駭客組織利用挖礦蠕蟲軟體從受害企業的Docker和Kubernetes系統中竊取AWS的帳密和設定檔。

TeamTNT的挖礦殭屍網路5月首先被MalwareHunterTeam發現,之後趨勢科技又再發現它和設定不當的Docker容器之間的關聯性。

Cado Security研究人員指出,它是第一個在挖礦模組上具備竊取AWS帳密能力的蠕蟲。

研究人員發現這個殭屍網路程式利用已感染的伺服器啟動開原碼IP傳輸埠大量掃瞄執行個體,以掃瞄曝露在公開網路的Docker API,之後又發現它也會掃瞄Kubernetes,找到設定不當的伺服器,再自我植入。

外洩AWS帳密

TeamTNT感染伺服器後就會掃瞄系統中的/.aws/credential及/.aws/config資料夾下為AWS CLI所用、以明碼儲存帳密及設定資訊的未加密檔。找到後,TeamTNT就將這些檔案以curl上傳到攻擊者控制的C&C伺服器。

研究人員發現,攻擊者也會人工檢查AWS帳密,或許是因為其自動檢查機制效果不好。

挖礦行動

此外TeamTNT也會在受害系統上部署XMRing CPU挖礦軟體,以挖取Monero幣(XMR)。

所有由此產出的現金都會傳送到攻擊者的Monero幣電子錢包,不過研究人員僅在這宗攻擊中發現2個錢包,當中有大約300美元的Monero幣。但研究人員相信總數應該更多,因為一般挖礦攻擊都會使用幾百個電子錢包來藏匿挖到的Monero幣。

研究人員認為,因為這類挖礦攻擊並不難,因此吸引許多歹徒對大量企業系統下手來賺取不法之財。

為防TeamTNT攻擊,Cado Security建議企業刪除任何以明碼儲存AWS帳密和設定資訊的檔案,利用防火牆白名單規則來封鎖Docker API存取管道,並且留心是否有用於挖礦常用的Stratum協定連線。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416