【安全资讯】TeamTNT黑客组织针对云服务器进行恶意活动

近日，研究人员发现TeamTNT黑客组织的恶意活动，该组织一直在积极发展以云为中心的加密劫持技术。TeamTNT针对Kubernetes 集群创建了名为 Black-T 的恶意软件，该恶意软件集成了开源云原生工具以进行加密劫持操作。TeamTNT攻击者还识别和收集 16 个独特的应用程序，扩展了他们的凭证抓取功能，并使用开源 Kubernetes和云渗透工具集Peirates，这可能会使 TeamTNT 攻击者获得对整个云环境的管理访问权限。

研究人员确定了 TeamTNT 的恶意软件存储库之一hxxp://45.9.148[.]35/chimaera/sh/，其中包含多个 bash 脚本，旨在执行加密劫持操作、漏洞利用、横向移动和凭据抓取操作。这个恶意软件存储库称为 Chimaera 存储库，如下图：

bash脚本grab_aws-data.sh包含70个唯一的AWS CLI命令，旨在枚举7种AWS服务、IAM配置、EC2实例、S3存储桶、支持案例和直接连接，以及任何可用于给定的AWS IAM凭证的CloudTrail和CloudFormation操作。通过AWS枚举过程获得的所有枚举值都将存储在本地目录/var/tmp/……/aws-account-data/中。

TeamTNT团伙还扩展了他们的凭证抓取功能，包括识别和收集 16 个独特的应用程序，这些应用程序可能存在于受感染的云端点和云实例上的任何已知用户帐户，包括根帐户。

此外，TeamTNT还使用以下应用程序在容器基础设施内横向移动：Weaveworks、Project Jupyter、Peirates。Weave 是为 Docker 和 Kubernetes 等容器基础设施开发的微服务网络网格应用程序，允许微服务在一个或多个主机上运行，同时保持网络连接。通过以 Weave 安装为目标，TeamTNT 操作有可能使用 Weave 网络网格应用程序在容器基础设施内横向移动。Project Jupyter 应用程序通过 Chimaera 存储库中的两个源被列为 TeamTNT的目标。Peirates 允许攻击者对 AWS 和 Kubernetes 实例执行多种攻击功能，可以让 TeamTNT攻击者调查和识别 Kubernetes 和云环境中的错误配置或潜在漏洞。

TeamTNT使用的脚本包含以下七种 AWS 服务的命令：

• 1. 44个EC2实例命令。
• 2. 14个IAM命令。
• 3. 4个直接连接命令。
• 4. 4个CloudFormation 命令。
• 5. 2个CloudTrail 命令。
• 6. 1个S3 命令。
• 7. 1个支持命令。