TeamTNT 僵尸網絡可以竊取 Docker API 和 AWS 憑證

趨勢科技的研究人員發現，TeamTNT僵尸網絡已得到改進，現在還可以竊取Docker憑據。

TeamTNT僵尸網絡是一種加密采礦惡意軟件操作，自2020年4月以來一直處于活動狀態，目標是安裝Docker。 安全公司趨勢科技已經詳細說明了TeamTNT團隊的活動 ，但是在8月，來自Cado Security的專家發現該僵尸網絡也可以針對配置錯誤的Kubernetes安裝。

在感染在AWS服務器上運行的Docker和Kubernetes系統，該bot就會掃描 ?/ .aws / credentials和 ?/ .aws / config ，它們是AWS CLI在未加密文件中存儲憑證和配置詳細信息的路徑 。

該惡意軟件部署了XMRig挖掘工具來挖掘Monero加密貨幣。

根據TeamTNT的命令和控制URL、一些字符串、加密密鑰以及Trend Micro分析的樣本所使用的語言，可以將最近的感染歸因于TeamTNT。

與過去的類似攻擊相比，新樣本得到了顯著改進。

“這里使用的惡意shell腳本是在Bash中開發的。與過去的類似攻擊相比，此腳本的開發技術更加完善。不再有無窮無盡的代碼行，并且示例被精心編寫并按具有描述性名稱的函數進行組織。” 陳述報告。

該機器人的新變種還能夠使用例程收集Docker API憑據，該例程僅檢查計算機上的憑據文件，然后將其泄漏。新示例包括兩個新例程。

“第一個請求AWS元數據服務，并嘗試從那里獲取憑證。另一個檢查環境變量中的AWS憑證。如果存在這些文件，則將它們上傳到C＆C服務器。” 繼續報告。

僅針對容器平臺看到了新的攻擊。專家注意到，包含所有惡意樣本的容器鏡像是最近創建的，總下載量為2000次。

“現在戰術已成倍發展。正在開發惡意腳本來竊取憑據等更敏感的數據。他們現在還具有其他功能，例如準備環境以確保擁有足夠的資源來進行挖掘，隱秘地保持盡可能長的開采時間，并確保在需要遠程連接時留出后門。達到目標。” 總結報告。

“由于攻擊現在也在尋找Docker憑證，因此僅實現API身份驗證是不夠的。系統管理員還應確保該API沒有公開公開，只有需要的人才能訪問。”*