Cyberattaques : un ver de crypto-mining vole des identifiants AWS
TeamTNT place son logo sur les terminaux des systèmes qu’elle infecte. Image : Cado Security.
Des chercheurs en sécurité ont découvert ce qui semble être la première opération de crypto-mining malveillante à utiliser une fonctionnalité permettant de voler les identifiants AWS des serveurs infectés.
Cette nouvelle fonctionnalité de vol de données a été repérée dans le malware utilisé par TeamTNT, un groupe de cybercriminels qui cible les installations Docker.
Le groupe TeamTNT
Le groupe est actif depuis le mois d’avril, selon des recherches publiées plus tôt cette année par la société de sécurité Trend Micro.
Selon le rapport, TeamTNT fonctionne en scannant internet pour trouver les systèmes Docker mal configurés et qui laissent leur API de gestion exposée sur l’internet sans mot de passe.
Le modus operandi du groupe consisterait à accéder à l’API et à déployer des serveurs à l’intérieur de l’installation Docker, qui exécuteraient des DDoS et des logiciels malveillants de crypto-mining. Ces tactiques sont similaires à celles de plusieurs autres groupes cybercriminels.
Mais dans un nouveau rapport publié hier, la société de sécurité britannique Cado Security affirme que le gang TeamTNT a récemment mis à jour son mode de fonctionnement. D’après leurs recherches, en plus des fonctionnalités d’origine, TeamTNT a maintenant étendu ses attaques aux installations Kubernetes.
TeamTNT dérobe des identifiants AWS
Si le fait d’élargir la base des cibles est déjà une nouvelle cruciale, les chercheurs de Cado security insistent sur une autre nouveauté encore plus importante, à savoir une nouvelle fonctionnalité qui analyse les serveurs infectés à la recherche d’identifiants pour Amazon Web Services (AWS).
Si les systèmes Docker et Kubernetes infectés fonctionnent sur l’infrastructure AWS, le gang TeamTNT recherche les fichiers ~/.aws/credentials et ~/.aws/config, puis copie et télécharge les deux fichiers sur son serveur de commande et de contrôle.
Le code TeamTNT qui vole et télécharge les identifiants AWS et les fichiers de configuration. Image : Cado Security.
Ces deux fichiers ne sont pas chiffrés et contiennent les identifiants en clair, ainsi que des détails de configuration pour le compte et l’infrastructure AWS sous-jacents.
Des incertitudes demeurent
Les chercheurs de Cado security pensent que le groupe n’a pas encore commencé à utiliser les données volées. Une liste d’identifiants surveillés a été envoyée au serveur C&C de TeamTNT, mais aucun de ces comptes n’avait été consulté hier, date de publication de leurs recherches.
Néanmoins, lorsque les attaquants décideront de le faire, TeamTNT devrait augmenter considérablement ses profits, soit en installant directement des logiciels malveillants de crypto-mining dans des clusters AWS EC2 plus puissants, soit en vendant les identifiants volés au marché noir.
Pour l’instant, Cado Security n’a qu’une vision limitée des opérations de TeamTNT, car la société de sécurité n’a pu suivre que quelques adresses de portefeuilles Monero que le groupe utilise pour collecter les cryptomonnaies minées. Si TeamTNT a en apparence gagné uniquement 300 dollars pour l’instant, on pense qu’ils ont généré des sommes plus importantes. Les logiciels malveillant de crypto-mining utilisent généralement des milliers d’adresses différentes pour rendre le suivi ou la saisie des fonds plus difficiles.
Source : ZDNet.com
