Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Advanced Persistent Threat (APT) TeamTNT Criminal Group

TeamTNT Criminal Group

Por GoldSparrow en Advanced Persistent Threat (APT)
Traducir a:
Español

TeamTNT es el nombre que recibe un grupo de ciberdelincuencia que se especializa en operaciones de criptominería. Si bien había poco para diferenciarlos del resto de los otros grupos de piratas informáticos que llevaron a cabo este tipo de ataques inicialmente, parece que TeamTNT está evolucionando en sus operaciones y ahora se ha informado que puede recopilar credenciales de Amazon Web Services (AWS) de la servidores infectados.

Cuando TeamTNT llamó por primera vez la atención de los investigadores de seguridad cibernética, se dirigía principalmente a los sistemas Docker que se habían configurado incorrectamente y tenían una API de nivel de administración sin protección de contraseña abierta a Internet. Una vez dentro de la red, los piratas informáticos desplegarían servidores que llevarían a cabo operaciones de DDoS y criptominería.

El grupo criminal TeamTNT está evolucionando

Sin embargo, desde entonces, los piratas informáticos han logrado expandir sus operaciones diversificándose y agregando instalaciones de Kubernetes como objetivos potenciales. Más importante aún, según los investigadores de seguridad cibernética de Cado Security, TeamTNT ha incluido un escáner que verifica los servidores infectados y recopila las credenciales de AWS. El grupo de hackers busca los archivos '/.aws/credentials' y '/.aws/config', en particular, los copia y envía ambos archivos al servidor Command-and-Control (C2) utilizado para la campaña de ataque. Cabe señalar que ambos archivos están cifrados y almacenan las credenciales de la infraestructura de AWS en forma de texto sin formato.

Si bien parece que TeamTNT aún no ha comenzado a explotar su acceso a las credenciales de AWS, podrían comenzar a hacerlo en cualquier momento, ya que representa una gran oportunidad monetaria para ellos. Los piratas informáticos podrían simplemente vender las credenciales recopiladas para obtener ganancias directas o usarlas para expandir sus actividades delictivas de manera significativa aprovechando el acceso potencial a los clústeres de AWS EC2 e instalando malware de criptominería directamente.

Tendencias

Mas Visto

Cargando...