Ботнет TeamTNT ворует учетные данные Docker и AWS

Исследователи информационной безопасности из компании Trend Micro сообщили в своём отчёте, что обнаружили вредоносный ботнет, который собирает и крадёт учётные данные Docker и AWS. Сам же ботнет связан с киберпреступной операцией, организованной группой хакеров TeamTNT.

Данное сообщество впервые было замечено летом 2020 года, когда установила вредоносное ПО для майнинга криптовалют на неправильно сконфигурированные платформы для контейнеризации.

TeamTNT начинал атаку с того, что искал системы управления Docker, которые оставили свои порты API менеджмента без пароля.

Если же далее зараженные системы Docker и Kubernetes работают поверх инфраструктуры AWS, команда TeamTNT сканирует ~/.aws/credentials и ~/.aws/config, копирует и загружает оба файла на свой командно-контрольный сервер.

TeamTNT получал доступ к открытым контейнерам Docker, где устанавливал вредоносное ПО для крипто-майнинга, а также впоследствии крал учётные данные для серверов Amazon Web Services (AWS), которые способствовали дальнейшему доступы к иным ИТ-системам компании.

Исследователи по ИБ из Trend Micro заявили, что вредоносный код teamtnt gang получил значительные обновления с тех пор, как был впервые замечен прошлым летом. TeamTNT теперь также добавила функцию сбора учётных данных Docker API поверх кода кражи AWS креденшилов.

Эта функция, скорее всего, используется в платформах контейниризации, где ботнет заражает хосты, используя другие точки входа, чем его функция сканирования портов Docker API.

Фактически реализация данной функции делает аутентификацию в API [Docker] недостаточной. Trend Micro рекомендует компаниям развернуть брандмауэры, чтобы ограничить доступ к порту с помощью списков разрешений.