0 |
Эксперты компьютерной безопасности обнаружили, по всей видимости, первый вредоносный криптомайнер с функцией кражи с заражённых серверов учётных данных AWS. Эта новая опасная специализация выявлена в программном обеспечении, используемом киберпреступной группой TeamTNT.
Согласно исследованию, недавно опубликованному Trend Micro, данная группа активна как минимум с апреля. TeamTNT сканирует Интернет в поисках систем Docker, в которых из-за неправильной настройки управляющий API-интерфейс оставлен доступным из Интернета без пароля.
Затем группа развёртывает внутри уязвимых инсталляций Docker серверы, которые запускают вредоносные программы для DDoS-атак и ПО для крипто-майнинга.
В новом отчете, от 17 августа, британская фирма Cado Security сообщила, что TeamTNT недавно распространила свои атаки на Kubernetes. Но самое главное новшество, которое выходит за рамки типичной для таких группировок функциональности, — это функция, которая сканирует инфицированные серверы в поисках любых учётных данных Amazon Web Services (AWS).
Найденные файлы ~/.aws/credentials и ~/.aws/config копируются и загружаются на командный (C&C) сервер TeamTNT. Оба они не зашифрованы и содержат записанные открытым текстом идентификационные данные и сведения о конфигурации для базовых аккаунта и инфраструктуры AWS.
По мнению исследователей из Cado преступники пока (по состоянию дел на 17 августа) не использовали похищенную таким образом информацию. Тем не менее, она позволяет TeamTNT серьёзно повысить доходы путём установки криптомайнеров на более мощные кластеры AWS EC2, либо торгуя украденными данными на чёрном рынке.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |