吳明宜駭客組織 TeamsTNT 利用挖礦蠕蟲從 Docker 或 K8s 中竊取 AWS 密碼
研究人員發現,一個名叫 TeamsTNT 的駭客組織利用挖礦蠕蟲軟體從受害企業的 Docker 和 Kubernetes 系統中竊取 AWS 的帳密和設定檔。
TeamTNT 的挖礦殭屍網路 5 月首先被 MalwareHunterTeam 發現,之後趨勢科技又再發現它和設定不當的 Docker 容器之間的關聯性。
Cado Security 研究人員指出,它是第一個在挖礦模組上具備竊取 AWS 帳密能力的蠕蟲。
研究人員發現這個殭屍網路程式利用已感染的伺服器啟動開原碼 IP 傳輸埠大量掃瞄執行個體,以掃瞄曝露在公開網路的 Docker API,之後又發現它也會掃瞄 Kubernetes,找到設定不當的伺服器,再自我植入。
外洩 AWS 帳密
TeamTNT 感染伺服器後就會掃瞄系統中的/.aws/credential 及/.aws/config 資料夾下為 AWS CLI 所用、以明碼儲存帳密及設定資訊的未加密檔。找到後,TeamTNT 就將這些檔案以 curl 上傳到攻擊者控制的 C&C 伺服器。
研究人員發現,攻擊者也會人工檢查 AWS 帳密,或許是因為其自動檢查機制效果不好。
挖礦行動
此外 TeamTNT 也會在受害系統上部署 XMRing CPU 挖礦軟體,以挖取 Monero 幣 (XMR)。
所有由此產出的現金都會傳送到攻擊者的 Monero 幣電子錢包,不過研究人員僅在這宗攻擊中發現 2 個錢包,當中有大約 300 美元的 Monero 幣。但研究人員相信總數應該更多,因為一般挖礦攻擊都會使用幾百個電子錢包來藏匿挖到的 Monero 幣。
研究人員認為,因為這類挖礦攻擊並不難,因此吸引許多歹徒對大量企業系統下手來賺取不法之財。
為防 TeamTNT 攻擊,Cado Security 建議企業刪除任何以明碼儲存 AWS 帳密和設定資訊的檔案,利用防火牆白名單規則來封鎖 Docker API 存取管道,並且留心是否有用於挖礦常用的 Stratum 協定連線。