来自Cado Security公司的研究人员检测到一种加密挖掘蠕虫，该蠕虫从受感染的服务器窃取了Amazon Web Services（AWS）凭证。 根据他们的观察，这是第一个包含此类AWS特定功能的蠕虫

2020年8月18日| AtoZ市场–网络安全研究人员发现，这似乎是第一个加密挖掘恶意软件操作，其中包含从受感染的服务器窃取AWS凭证的功能。 研究人员在TeamTNT使用的恶意软件中发现了这一新的数据窃取功能，TeamTNT是一个针对Docker安装的网络犯罪组织。

根据安全公司趋势科技（Trend Micro）今年早些时候发布的研究，该组织至少从4月开始活跃。

TeamTNT如何运作

根据该报告，TeamTNT通过扫描Internet来查找配置错误的Docker系统。 他们还扫描无需密码即可在互联网上公开其管理API的系统。

该小组将访问API并在运行DDoS和加密矿恶意软件的Docker安装中部署服务器。 他们的策略不像使用同一本书的其他多个网络犯罪集团那样独特。

但是在8月17日发布的新报告中，英国安全公司Cado Security表示，TeamTNT帮派最近更新了其操作方式。

Cado研究人员说，除了原始功能之外，TeamTNT现在还扩大了针对Kubernetes安装的攻击范围。

另请阅读：ACSC利用加密劫持恶意软件攻击的漏洞

攻击者是否已使用了被盗的AWS凭证？

Cado研究人员认为，攻击者尚未移动使用任何被盗的凭据。 他们说，他们向TeamTNT C＆C服务器发送了一组金丝雀凭据，但是在8月17日发布研究结果之前，这些帐户均未被访问。

但是，当攻击者决定这样做时，TeamTNT可以通过直接在功能更强大的AWS EC2群集中安装加密矿恶意软件或通过在黑市上出售被盗凭证来严重提高其利润。

目前，Cado对TeamTNT的运营只有有限的了解。 该安全公司只能追踪其中的一些货币该组织用来收集已开采资金的钱包地址。 尽管TeamTNT似乎只赚了300美元，但实际上，该团队的收入却高出许多倍。 原因是，加密采矿僵尸网络通常使用成千上万个不同的钱包地址，以使追踪或扣押资金变得更加困难。

以为我们错过了什么？ 在下面的评论部分让我们知道。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。