安全研究專家近日發(fā)現(xiàn)了疑似首個加密挖礦惡意軟件,可以從受感染的服務(wù)器中竊取AWS憑證。
安全研究專家近日發(fā)現(xiàn)了疑似首個加密挖礦惡意軟件�,可以從受感染的服務(wù)器中竊取AWS憑證����。這種新型數(shù)據(jù)竊取功能是TeamTNT(主要針對Docker安裝的網(wǎng)絡(luò)犯罪集團)使用的惡意軟件。
根據(jù)安全公司趨勢科技今年早些時候發(fā)布的研究報告��,該組織至少從4月開始就已經(jīng)開始活躍��。根據(jù)報告����,TeamTNT的運作方式是在互聯(lián)網(wǎng)上掃描那些被錯誤配置的Docker系統(tǒng),并在沒有密碼的情況下將其管理API暴露在互聯(lián)網(wǎng)上�����。
該組織會訪問API��,并在Docker安裝內(nèi)部署服務(wù)器�����,運行DDoS和加密挖掘惡意軟件�����。根據(jù)英國安全公司Cado Security在8月17日發(fā)布的最新報告�����,這款惡意程序除了上述功能之外�,還將攻擊范圍擴大到了Kubernetes安裝。
雖然擴大目標通常是非常重要的��,不過Cado研究人員表示該惡意程序還有一個更嚴重的功能�,即掃描底層受感染服務(wù)器的任意亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)憑證。
如果受感染的Docker和Kubernetes系統(tǒng)運行在AWS基礎(chǔ)設(shè)施之上����,TeamTNT團伙就會掃描~/.aws/redentials和~/.aws/config,并將這兩個文件復(fù)制并上傳到其命令和控制服務(wù)器上��。這兩個文件都沒有加密��,包含了底層AWS賬戶和基礎(chǔ)設(shè)施的明文憑證和配置細節(jié)。
閩公網(wǎng)安備 35010202001226號
