AWS Cryptojacking 蠕蟲病毒通過云傳播
該惡意軟件收集AWS憑證并安裝Monero cryptominers。
來自一個名為TeamTNT的小組的cryptomining蠕蟲正在Amazon Web Services(AWS)云中傳播并收集憑據。一旦收集到登錄信息,惡意軟件就會登錄并部署XMRig挖掘工具來挖掘Monero cryptocurrency。
根據Cado Security的研究人員所說,該蠕蟲還部署了許多公開可用的惡意軟件和攻擊性安全工具,其中包括SSH后開發工具“ punk.py”。日志清理工具;Diamorphine rootkit;和Tsunami IRC后門。
這是觀察到的第一個專門針對AWS以進行密碼劫持的威脅。
周一的一篇文章說:“該蠕蟲還竊取了本地憑據,并在互聯網上掃描了配置錯誤的Docker平臺。” “我們已經看到攻擊者……破壞了許多Docker和Kubernetes系統。”
隨著越來越多的企業采用云和容器環境,它通過錯誤配置為網絡罪犯開辟了新的攻擊面。話雖如此,針對Docker和Kubernetes的加密威脅并不新鮮。攻擊者繼續以自動方式掃描可公開訪問的、打開的Docker / Kubernetes服務器,然后對其進行利用以設置自己的容器并在受害者的基礎設施上執行惡意軟件。
通常,該惡意軟件是某種類型的cryptominer,如四月份在使用Kinsing惡意軟件的Bitcoin-mining campaign活動中所見。有時,威脅會更加嚴重,如7月份所見,當時人們看到一個新的名為Doki的Linux后門感染了Docker服務器,以應對從denial-of-service/sabotage到信息泄露到勒索軟件的各種基于惡意軟件的攻擊。
攻擊AWS
攻擊首先針對AWS將憑證存儲在?/ .aws / credentials中的未加密文件中以及將其他配置詳細信息存儲在?/ .aws / config中的方式。
研究人員解釋說:“竊取AWS憑證的代碼相對簡單-在執行時,它將默認的AWS憑證和配置文件上傳到攻擊者的服務器sayhi.bplace[.]net。” “ Curl用于將AWS憑證發送到TeamTNT的服務器。”
圖1:從受感染系統中竊取AWS憑證的代碼。
有趣的是,盡管該腳本被編寫為蠕蟲病毒,但在安全公司的分析過程中,攻擊的自動化部分似乎并未完全發揮作用。
該帖子稱:“我們已將CanaryTokens.org創建的憑據發送給TeamTNT,但尚未看到它們的使用。” “這表明TeamTNT要么手動評估和使用憑據,要么他們創建的任何自動化功能目前都無法正常運行。”
研究人員說,錨定TeamTNT蠕蟲的腳本是上述Kinsing惡意軟件的改用代碼,該腳本最初用于掃描配置錯誤的Docker API,然后啟動Docker映像并自行安裝。他們補充說,從其他工具復制代碼在網絡犯罪領域很常見。
他們說:“反過來,我們很可能會看到其他蠕蟲也開始復制竊取AWS憑證文件的功能。” “雖然這些攻擊不是特別復雜,但是部署加密劫持蠕蟲的眾多組織已成功感染大量業務系統。”
圖2:被盜的AWS憑證生成的網絡流量。
TeamTNT – It’s Dynamite
據研究人員稱,TeamTNT會在蠕蟲代碼內的眾多參考文獻中宣布自己的身份,并且該小組使用一個稱為team tnt[.]red的域名。該域托管惡意軟件,其首頁名為“ TeamTNT RedTeamPentesting”。
TeamTNT多產,并于今年初被發現。4月,趨勢科技觀察到該組織正在攻擊Docker Containers。
Cado對其中一個examination進行的檢查得出了有關支持AWS-capable蠕蟲已入侵的系統的信息,結果表明,對于一個pool,在AWS、Kubernetes集群和Jenkins構建服務器上,共有119個系統受到影響。
研究人員解釋說:“到目前為止,與這些最新攻擊相關的兩個不同的Monero wallets,為TeamTNT贏得了大約三個XMR。” “這僅相當于約300美元,但這只是他們眾多活動中的一個。”
Cado研究人員建議,為阻止此類攻擊,企業應確定哪些系統正在存儲AWS憑證文件,并在不需要時將其刪除。另外,請查看網絡流量,以了解與pools的任何連接或通過HTTP發送AWS憑證文件的連接;并且使用防火墻規則來限制對Docker API的任何訪問。
