- La comparaison
- Tutoriels
- Un logiciel malveillant de crypto-minage amélioré vole désormais les informations d'identification AWS
Le malware de cryptominage utilisé par le groupe de cybercriminalité TeamTNT a été mis à jour avec une nouvelle fonctionnalité qui lui permet de voler les informations d'identification AWS des serveurs infectés. Le groupe opère depuis au moins avril de cette année selon un rapport de Trend Micro, dont les chercheurs ont découvert son mineur de crypto-monnaie avec un bot DDoS utilisé pour attaquer les systèmes Docker tout en enquêtant sur un répertoire ouvert contenant des fichiers malveillants découverts. première fois par MalwareHunterTeam. TeamTNT analyse Internet à la recherche d'API Docker mal configurées qui ont été laissées exposées en ligne sans mot de passe. Lorsque le groupe trouve un système Docker vulnérable, il déploie des serveurs dans l'installation pour lancer des attaques DDoS et exécuter des logiciels malveillants de crypto-extraction. Cependant, TeamTNT n'est qu'un des nombreux gangs de cybercriminalité qui emploient des tactiques similaires pour profiter des organisations dont les systèmes ne sont pas correctement protégés en ligne.
Première crypto-monnaie, maintenant identifiants
Selon un nouveau rapport de la société de sécurité britannique Cado Security, TeamTNT a élargi la portée de ses logiciels malveillants pour cibler les installations de Kubernetes tout en ajoutant une nouvelle fonctionnalité qui analyse les serveurs infectés à la recherche d'informations d'identification AWS. Si un système Docker ou Kubernetes infecté s'exécute sur l'infrastructure AWS, le groupe recherche les informations d'identification et les fichiers de configuration d'AWS, les copie, puis les télécharge sur son serveur de commande et de contrôle. Pour aggraver les choses, les fichiers ~/.aws/credentials et ~/.aws/config volés par TeamTNT ne sont pas chiffrés et contiennent des informations d'identification en texte clair et des détails de configuration pour le compte et l'infrastructure AWS. d'un but. Heureusement, aucune des informations d'identification volées n'a encore été utilisée par le groupe selon les chercheurs de Cabo Security, qui ont envoyé une collection d'informations d'identification Canary à leur serveur C&C qui n'ont pas encore été utilisées. L'équipe TNT et son logiciel malveillant de cryptominage constituent une menace sérieuse pour les organisations, car le groupe sera probablement en mesure d'augmenter considérablement ses bénéfices en vendant les informations d'identification volées ou en les utilisant pour exploiter la crypto-monnaie. supplémentaire. Via ZDNet