資安研究人員發現新版挖礦僵屍網路,會竊取 AWS 登入資訊.png

資安研究人員發表研究報告,指出近期有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。

資安廠商 Cado Secutiry 旗下的研究人員,日前發表研究報告,指出近期發現有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。

這個僵屍網路過去曾被趨勢科技資安團隊截獲,當時命名為 Team TNT,Cado Security 發現 Team TNT 最近增加了新功能,不但專門鎖定使用 Docker 或 Kubernates 的容器平台進行駭侵攻擊,而且還會竊取 host 所在 AWS 伺服器的登入資訊。

除了竊取 AWS 登入資訊外,新版 Team TNT 僵屍網路還會掃瞄本機端的各種登入資訊,並且掃瞄 internet 上配置不當的其他 Docker 和 Kubernates 平台。

Cado Security 的研究人員將試驗用的登入資訊傳送給 Team TNT 的控制伺服器,從而證實了目前 Team TNT 還沒有開始針對收集來的配置不良 Docker 與 Kubernates 容器進行攻擊。

Team TNT 借用了另一個名為 Kinsing 的惡意軟體部分程式,這支惡意軟體除了會挖礦之外,也會針對 Docker 平台進行攻擊。

資安專家指出,絕對不要在系統內儲存 AWS 或任何其他系統的未加密登入資訊,也應針對 Docker 平台加上強化的防火牆保護,禁止任何不必要的網路存取。


  • 參考連結

https://www.cadosecurity.com/2020/08/17/teamtnt-the-first-crypto-mining-worm-to-steal-aws-credentials/

https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports

https://securityaffairs.co/wordpress/107248/malware/teamtnt-botnet-steals-aws-credentials.html?utm_source=rss&utm_medium=rss&utm_campaign=teamtnt-botnet-steals-aws-credentials

    twcert 發表在 痞客邦 留言(0) 人氣()