Los investigadores de Cado Security se encontraron con un gusano de minería de criptomonedas que puede robar las credenciales de AWS de los servidores infectados. Este es el primer gusano observado que contiene dicha funcionalidad específica de AWS.
El malware parece ser el trabajo de la pandilla TeamTNT, que ha estado activa desde abril y se sabe que tiene como objetivo las instalaciones de Docker. La actividad del grupo ha sido detallada por Trend Micro en mayo de este año y, según el informe, TeamTNT generalmente escanea Internet en busca de contenedores Docker mal configurados y los infecta con un minero de criptomonedas malicioso y un malware DDoS.
Sin embargo, recientemente, el grupo TeamTNT cambió sus tácticas y agregó instalaciones de Kubernetes mal configuradas a su lista de objetivos. Los operadores de botnets también implementaron una nueva función en su malware que escanea los servidores infectados subyacentes en busca de credenciales de Amazon Web Services (AWS). Una vez que se infectan los sistemas Docker y Kubernetes que se ejecutan en la parte superior de los servidores de AWS, el bot busca ~ / .aws / credentials y ~ / .aws / config, que son las rutas donde la AWS CLI almacena las credenciales y los detalles de configuración en un archivo no cifrado. Luego, estos archivos se copian y se cargan en el servidor de control y comando de los atacantes.
Los investigadores enviaron las credenciales creadas por CanaryTokens.org al servidor TeamTNT, pero no observaron que el grupo las usaba. La posible explicación de esto puede ser que TeamTNT "ya sea evaluar y usar manualmente las credenciales, o cualquier automatización que puedan haber creado no funciona actualmente".
El gusano despliega la herramienta de minería XMRig para extraer la criptomoneda monero y generar efectivo para los atacantes. El malware también implementa una serie de malware y herramientas de seguridad ofensivas disponibles abiertamente, que incluyen punk.py (una herramienta posterior a la explotación SSH), una herramienta de limpieza de registros, el rootkit Diamorphine y la puerta trasera Tsunami IRC.
Los investigadores han identificado dos billeteras Monero diferentes asociadas con los ataques recientes, que le han ganado a TeamTNT alrededor de 3 XMR (casi $ 300), sin embargo, Cado Security señala que la cantidad ganada podría ser mucho mayor ya que esta es solo una de las muchas campañas del grupo. .
