TeamTNT ботнет ворует учетные данные AWS взломанных серверов

Действующий с апреля 2020 года ботнет TeamTNT обновил свой функционал в середине августа. Теперь TeamTNT добавил новую функцию кражи данных, которая позволяет злоумышленникам сканировать и красть учетные данные AWS. На текущий момент это первая вредоносная программа бот-сети, которая известна для сканирования и кражи учётных данных AWS.

Помимо вышесказанного зловред также крадёт локальные учетные данные и сканирует интернет на наличие неверно настроенных Docker сред. Злоумышленники скомпрометировали уже многие проекты на базе Docker и Kubernetes, а также Kubernetes-кластеры и серверы на Jenkins.

Однако, функционалом взлома и кражи креденшелов от AWS дело не ограничивается. TeamTNT работает как ботнет и червь и использует XMRig miner для добычи криптовалюты Monero. Но и это ещё не всё. Он также устанавливает на скомпрометированный сервер ряд зловредных программ включая punk.py, руткит, бэкдор Tsunami IRC и инструменты для очистки журналов.

Исследователи в области информационной безопасности считают, что набор вредоносных программ TeamTNT представляет собой объединение другого червя под названием Kinsing. В начале апреля 2020 года кампания по майнингу биткойнов использовала вредоносную программу Kinsing для сканирования неверно настроенных API Docker.

Вполне вероятно, что в ближайшем будущем более популярные и распространенные черви начнут копировать возможность кражи учетных данных AWS. Чтобы предотвратить такие атаки, компаниям следует рассмотреть возможность пересмотра своих конфигураций безопасности для защиты AWS-бакета от взлома. Кроме того, рекомендуется также отслеживать сетевой трафик и использовать правила брандмауэра для ограничения любого доступа к API Docker.