TeamTNT Criminal Group
TeamTNT est le nom donné à un groupe de cybercriminalité spécialisé dans les opérations de crypto-mining. Bien qu'il y ait peu de choses qui les différencient du reste des autres groupes de pirates informatiques effectuant ces types d'attaques au départ, il semble que TeamTNT fait évoluer ses opérations et qu'il est maintenant signalé qu'il est en mesure de collecter les informations d'identification d'Amazon Web Services (AWS) à partir du serveurs infectés.
Lorsque TeamTNT a attiré l'attention des chercheurs en cybersécurité pour la première fois, il ciblait principalement les systèmes Docker qui avaient été configurés de manière incorrecte et dont l'API de niveau gestion sans protection par mot de passe était ouverte à Internet. Une fois à l'intérieur du réseau, les pirates déploieraient des serveurs qui effectueraient des opérations DDoS et de crypto-mining.
Le groupe criminel TeamTNT évolue
Depuis lors, cependant, les pirates ont réussi à étendre leurs opérations en se diversifiant et en ajoutant des installations Kubernetes comme cibles potentielles. Plus important encore, selon les chercheurs en cybersécurité de Cado Security, TeamTNT a inclus un scanner qui vérifie les serveurs infectés et collecte les informations d'identification AWS. Le groupe de hackers recherche notamment les fichiers '/.aws/credentials' et '/.aws/config', les copie et envoie les deux fichiers au serveur Command-and-Control (C2) utilisé pour la campagne d'attaque. Il convient de noter que les deux fichiers sont chiffrés et stockent les informations d'identification de l'infrastructure AWS sous forme de texte brut.
Bien qu'il semble que TeamTNT n'ait pas encore commencé à exploiter leur accès aux informations d'identification AWS, ils pourraient commencer à le faire à tout moment car cela représente une énorme opportunité monétaire pour eux. Les pirates pourraient simplement vendre les informations d'identification collectées pour des gains directs ou les utiliser pour étendre considérablement leurs activités criminelles en tirant parti de l'accès potentiel aux clusters AWS EC2 et en installant directement des logiciels malveillants de crypto-mining.
