TeamTNT 僵尸网络可以窃取 Docker API 和 AWS 凭证

Andrew 2021-01-11
专栏 - 事件 发布于 2021-01-11 10:55:57 阅读 110 评论 0

趋势科技的研究人员发现,TeamTNT僵尸网络已得到改进,现在还可以窃取Docker凭据。

TeamTNT僵尸网络是一种加密采矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT团队的活动 ,但是在8月,来自Cado Security的专家发现该僵尸网络也可以针对配置错误的Kubernetes安装。

在感染在AWS服务器上运行的Docker和Kubernetes系统,该bot就会扫描 〜/ .aws / credentials〜/ .aws / config ,它们是AWS CLI在未加密文件中存储凭证和配置详细信息的路径 。

该恶意软件部署了XMRig挖掘工具来挖掘Monero加密货币。

根据TeamTNT的命令和控制URL、一些字符串、加密密钥以及Trend Micro分析的样本所使用的语言,可以将最近的感染归因于TeamTNT。

与过去的类似攻击相比,新样本得到了显着改进。

“这里使用的恶意shell脚本是在Bash中开发的。与过去的类似攻击相比,此脚本的开发技术更加完善。不再有无穷无尽的代码行,并且示例被精心编写并按具有描述性名称的函数进行组织。” 陈述报告。

该机器人的新变种还能够使用例程收集Docker API凭据,该例程仅检查计算机上的凭据文件,然后将其泄漏。新示例包括两个新例程。

“第一个请求AWS元数据服务,并尝试从那里获取凭证。另一个检查环境变量中的AWS凭证。如果存在这些文件,则将它们上传到C&C服务器。” 继续报告。

TeamTNT僵尸网络AWS 2.png

仅针对容器平台看到了新的攻击。专家注意到,包含所有恶意样本的容器镜像是最近创建的,总下载量为2000次。

“现在战术已成倍发展。正在开发恶意脚本来窃取凭据等更敏感的数据。他们现在还具有其他功能,例如准备环境以确保拥有足够的资源来进行挖掘,隐秘地保持尽可能长的开采时间,并确保在需要远程连接时留出后门。达到目标。” 总结报告。

“由于攻击现在也在寻找Docker凭证,因此仅实现API身份验证是不够的。系统管理员还应确保该API没有公开公开,只有需要的人才能访问。”*

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!