趋势科技的研究人员发现,TeamTNT僵尸网络现在能够窃取Docker API登录信息以及AWS凭证。
趋势科技的研究人员发现,TeamTNT僵尸网络已得到改进,现在还可以窃取Docker凭据。
TeamTNT僵尸网络是一种加密采矿恶意软件操作,自2020年4月以来一直处于活动状态,目标是安装Docker。 安全公司趋势科技已经详细说明了TeamTNT组的活动 ,但是在8月,来自Cado Security的专家发现该僵尸网络也可以针对配置错误的Kubernetes安装。
一旦感染了运行在AWS服务器之上的Docker和Kubernetes系统,该bot就会扫描 〜/ .aws / credentials 和 〜/ .aws / config ,它们是AWS CLI在未加密文件中存储凭证和配置详细信息的路径 。
该恶意软件部署了XMRig挖掘工具来挖掘Monero加密货币。
最近感染的病毒归因于TeamTNT,基于其命令和控制URL,一些字符串,加密密钥以及趋势科技分析的样本所使用的语言。
与过去的类似攻击相比,新样本得到了显着改进。
“这里使用的恶意shell脚本是在Bash中开发的。与过去的类似攻击相比,此脚本的开发技术更加完善。不再有无穷无尽的代码行,并且示例被精心编写并按具有描述性名称的函数进行组织。” 陈述报告。
该机器人的新变种还能够使用例程收集Docker API凭据,该例程仅检查计算机上的凭据文件,然后将其泄漏。新示例包括两个新例程。
“第一个请求 AWS元数据服务, 并尝试从那里获取凭证。另一个检查环境变量中的AWS凭证。如果存在这些文件,则将它们上传到C&C服务器。” 继续报告。

仅针对容器平台看到了新的攻击。专家注意到,包含所有恶意样本的容器映像是最近创建的,下载总数为2,000。
“现在战术已成倍发展。正在开发恶意脚本来窃取凭据等更敏感的数据。他们现在还具有其他功能,例如准备环境以确保拥有足够的资源来进行挖掘,隐秘地保持尽可能长的开采时间,并确保在需要远程连接时留出后门。达到目标。” 总结报告。
“由于攻击现在也在寻找Docker凭证,因此仅实现API身份验证是不够的。系统管理员还应确保该API没有公开公开,只有需要的人才能访问。”
*编译:Domino
*来自:securityaffairs