TeamTNT снова в деле: как они используют облачный червь для кражи ваших данных и денег

Исследователи безопасности Aqua Security предупредили , что группировка TeamTNT может готовить новую масштабную кампанию против облачных сред под названием «SilentBob». Такие подозрения появились после того, как специалисты обнаружили хакеров , нацеленных на неправильно сконфигурированные серверы.

Компания Aqua Security начала расследование после обнаружения атаки на одну из своих приманок. Впоследствии были обнаружены 4 образа вредоносных контейнеров. Однако, учитывая, что некоторые функции кода остались неиспользованными и, по-видимому, в настоящее время проводится определенное ручное тестирование, исследователи предположили, что кампания еще не запущена полностью.

По словам экспертов, инфраструктура находится на ранних стадиях тестирования и развёртывания и в основном соответствует агрессивному облачному червю, предназначенному для запуска на открытых API-интерфейсах JupyterLab и Docker для развертывания вредоносного ПО Tsunami, захвата учетных данных, захвата ресурсов и дальнейшего заражения червем.

TeamTNT — это группа киберпреступников, известная разрушительными атаками на облачные системы, особенно на среды Docker и Kubernetes. Группировка специализируется на криптомайнинге.

Хотя TeamTNT прекратила свою деятельность еще в конце 2021 года, Aqua Security связала новую кампанию с TeamTNT , основываясь на использовании вредоносного ПО Tsunami, функции dAPIpwn и C2-сервера, который отвечает на немецком языке.

Обнаруженная активность группы начинается, когда злоумышленник идентифицирует неправильно настроенный API-интерфейс Docker или сервер JupyterLab и развертывает контейнер или взаимодействует с интерфейсом командной строки (Command Line Interface, CLI) для сканирования и выявления дополнительных жертв.

Такой процесс предназначен для распространения вредоносного ПО на большее количество серверов. Вторичная полезная нагрузка включает в себя криптомайнер и бэкдор, причем бэкдор использует вредоносное ПО Tsunami как инструмент атаки. Aqua Security опубликовала список рекомендаций, которые помогут организациям уменьшить угрозу.