TeamTNT 僵尸网络可以窃取 Docker API 和 AWS 凭证

趋势科技的研究人员发现，TeamTNT僵尸网络已得到改进，现在还可以窃取Docker凭据。

TeamTNT僵尸网络是一种加密采矿恶意软件操作，自2020年4月以来一直处于活动状态，目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT团队的活动 ，但是在8月，来自Cado Security的专家发现该僵尸网络也可以针对配置错误的Kubernetes安装。

在感染在AWS服务器上运行的Docker和Kubernetes系统，该bot就会扫描 〜/ .aws / credentials和 〜/ .aws / config ，它们是AWS CLI在未加密文件中存储凭证和配置详细信息的路径 。

该恶意软件部署了XMRig挖掘工具来挖掘Monero加密货币。

根据TeamTNT的命令和控制URL、一些字符串、加密密钥以及Trend Micro分析的样本所使用的语言，可以将最近的感染归因于TeamTNT。

与过去的类似攻击相比，新样本得到了显着改进。

“这里使用的恶意shell脚本是在Bash中开发的。与过去的类似攻击相比，此脚本的开发技术更加完善。不再有无穷无尽的代码行，并且示例被精心编写并按具有描述性名称的函数进行组织。” 陈述报告。

该机器人的新变种还能够使用例程收集Docker API凭据，该例程仅检查计算机上的凭据文件，然后将其泄漏。新示例包括两个新例程。

“第一个请求AWS元数据服务，并尝试从那里获取凭证。另一个检查环境变量中的AWS凭证。如果存在这些文件，则将它们上传到C＆C服务器。” 继续报告。

仅针对容器平台看到了新的攻击。专家注意到，包含所有恶意样本的容器镜像是最近创建的，总下载量为2000次。

“现在战术已成倍发展。正在开发恶意脚本来窃取凭据等更敏感的数据。他们现在还具有其他功能，例如准备环境以确保拥有足够的资源来进行挖掘，隐秘地保持尽可能长的开采时间，并确保在需要远程连接时留出后门。达到目标。” 总结报告。

“由于攻击现在也在寻找Docker凭证，因此仅实现API身份验证是不够的。系统管理员还应确保该API没有公开公开，只有需要的人才能访问。”*