TeamTNT Criminal Group

TeamTNTは、暗号マイニング操作を専門とするサイバー犯罪グループに付けられた名前です。これらのタイプの攻撃を最初に実行する他のハッカーグループと区別することはほとんどありませんでしたが、TeamTNTはその運用を進化させており、Amazon Web Services（AWS）のクレデンシャルを感染したサーバー。

TeamTNTが最初にサイバーセキュリティ研究者の注目を集めたとき、それは主に正しく構成されておらず、パスワード保護のない管理レベルのAPIがインターネットに公開されたままになっているDockerシステムを対象としていました。ネットワーク内に入ると、ハッカーはDDoSおよび暗号マイニング操作を実行するサーバーを展開します。

TeamTNT CriminalGroupは進化しています

ただし、それ以降、ハッカーは、Kubernetesのインストールを分岐して潜在的なターゲットとして追加することにより、運用を拡大することができました。さらに重要なことに、Cado Securityのサイバーセキュリティ研究者によると、TeamTNTには、感染したサーバーをチェックしてAWSクレデンシャルを収集するスキャナーが含まれています。ハッカーグループは、「/。aws / credentials」ファイルと「/.aws/config」ファイルを探し、特にそれらをコピーして、攻撃キャンペーンに使用されるCommand-and-Control（C2）サーバーに両方のファイルを送信します。どちらのファイルも暗号化されており、AWSインフラストラクチャのクレデンシャルがプレーンテキスト形式で保存されていることに注意してください。

TeamTNTはまだAWSクレデンシャルへのアクセスを利用し始めていないようですが、それは彼らにとって大きな金銭的機会を表すため、いつでも利用を開始できます。ハッカーは、収集したクレデンシャルを直接取得するために販売するか、AWS EC2クラスターへの潜在的なアクセスを活用して暗号マイニングマルウェアを直接インストールすることにより、犯罪活動を大幅に拡大するために使用できます。