นักวิจัยจาก Cado Security ได้เปิดเผยถึงการค้นพบที่เกี่ยวกับกลุ่มอาชญากรรมทางไซเบอร์ที่กำลังใช้ Crypto-Mining Worm ชนิดใหม่ที่เรียกว่า TeamTNT ใช้ทำการขโมย Credential และค่าคอนฟิกของ AWS ที่เก็บอยู่ในรูปแบบ Plaintext จาก Docker และ Kubernetes ที่ถูกบุกรุก
TeamTNT นั้นเป็นบอตเน็ตชนิด Cryptocurrency Mining ถูกค้นพบครั้งเเรกโดย MalwareHunterTeam และถูกวิเคราะห์เพิ่มเติมโดยทีมนักวิจัยจาก Trend Micro จากการวิเคราะห์เมื่อเซิร์ฟเวอร์ติดเชื้อ ตัวบอตเน็ตจะเรียกใช้ Masscan IP เพื่อทำการสแกนเนอร์พอร์ตหา Docker APIs และ Kubernetes ที่ทำการตั้งค่าคอนฟิกผิดพลาดและสามารถเข้าถึงได้เพื่อทำการติดตั้งตัวเองในคอนเทนเนอร์บนเซิร์ฟเวอร์ที่พบ จากนั้น TeamTNT จะสแกนระบบเพื่อหาไฟล์ที่ไม่ได้เข้ารหัสโดย AWS CLI เพื่อทำการขโมย Credentials และค่าคอนฟิกของ AWS ที่ถูกเก็บอยู่ในรูปแบบ Plaintext จากพาทที่เก็บข้อมูลคือ ~/.aws/credentials และ ~/.aws/config. เมื่อได้ข้อมูล TeamTNT จะส่งข้อมูลที่ค้นพบกลับไปยังเซิฟเวอร์ Command-and-Control (C&C) ของผู้ประสงค์ร้ายโดยการใช้ Curl
นอกจากนี้ TeamTNT ยังได้ปรับใช้ XMRig CPU miner บนระบบที่ถูกบุกรุกเพื่อทำการขุด Monero (XMR) Cryptocurrency
เพื่อป้องกันการโจมตีของ TeamTNT worm นักวิจัยจาก Cado Security ได้เเนะนำให้ทำการลบไฟล์ Credentials และค่าคอนฟิกของ AWS ที่เก็บอยู่ในรูปแบบ Plaintext จาก Docker และ Kubernetes จากนั้นทำการบล็อกการเข้าถึง Docker API โดยการตั้ง whitelist rule บนไฟร์วอลล์และตรวจสอบความผิดปกติอย่างการเชื่อมต่อกับ Mining Pools หรือใช้ Stratum mining protocol
ที่มา: