4006-555-883

TeamTNT僵尸网络在窃取Docker API和AWS凭据

发布时间:2021-01-11 10:29:00

  Trend Micro的研究人员发现,TeamTNT僵尸网络现在能够窃取Docker API登录和AWS凭据。

  Trend Micro的研究人员发现TeamTNT僵尸网络得到了改进,现在还可以窃取Docker的证书。

  TeamTNT僵尸网络是一种加密挖掘恶意软件操作,自2020年4月以来一直处于活动状态,目标是Docker安装。安全公司Trend Micro已经详细介绍了TeamTNT集团的活动,但在8月份,Cado security的专家发现,僵尸网络也能够针对配置错误的Kubernetes安装。



  感染运行在AWS服务器上的Docker和Kubernetes系统后,bot会扫描~/.AWS/凭据和~/.AWS/配置,这些路径是AWS CLI在未加密的文件中存储凭据和配置详细信息的路径。

  恶意软件部署XMRig挖掘工具来挖掘Monero加密货币。

  将最近的感染归因于TeamTNT是基于它的命令和控制url、一些字符串、加密密钥和trendmicro分析的样本上使用的语言。

  与过去类似的攻击相比,新的样本有了显著的改进。

  “这里使用的恶意shell脚本是在Bash中开发的。与过去的类似攻击相比,该脚本的开发技术更加完善;没有更多的无休止的代码行,而且示例编写得很好,并按具有描述性名称的函数进行组织。

  bot的新变种还能够使用一个例程收集dockerapi凭证,该例程只检查机器上的凭证文件,然后将它们过滤掉。新示例包括两个新例程。

  “第一个请求AWS元数据服务并尝试从那里获取凭据。另一个检查环境变量中的AWS凭据;如果存在这些凭据,则将它们上载到C&C服务器。

  新的攻击只针对集装箱平台。专家注意到,包含所有恶意样本的容器映像是最近创建的,下载总数为2000。

  “战术现在已经呈指数级发展。正在开发恶意脚本以窃取凭据等更敏感的数据。他们现在还配备了其他功能,如准备环境,以确保它将有足够的资源来开采,具有足够的隐蔽性,以保持开采尽可能长的时间,并确保离开后门,以防他们需要远程连接到他们的目标。

  “由于攻击现在也在寻找Docker凭据,因此仅实现API身份验证是不够的。系统管理员还应确保API不会公开,并且只能由需要的人访问。”

  【参考来源:securityaffairs.co;图源自网络,侵删】

最新发布
1
政府机构频遭黑客攻击,国密改造亟需加快推进
2
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
3
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
4
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
5
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
6
警惕!银行系统漏洞频发,国密改造亟需加快推进
7
4·15国家安全教育日 | 网络安全,你我共建
8
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
9
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
10
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
相关推荐
频遭网络诈骗,是因为他们还不知道这个……
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
14.3亿!这家公司将面临比薇娅还高的罚款
Tengine+BabaSSL强强联合,vTrus证书大有可为
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
红十字会网站超51万人信息被盗,加强网络安全时刻不能放松
形势将更严峻!DigiCert发布2022年度八大安全预测
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强