Исследователи безопасности говорят, что они столкнулись с самораспространяющимся вредоносным ПО, так называемым червем, который помимо попыток добывать криптовалюту также пытается украсть учетные данные для входа в учетные записи Amazon Web Services.
Cado Security заявила, что червь crypto-jacking TeamTNT сканирует учетные данные, которые хранятся в оболочке интерфейса командной строки AWS в незашифрованном файле.
В случае обнаружения учетные данные отправляются на сервер злоумышленников, который в настоящее время размещен в сети, выделенной компании с адресом в Германии.
Взяв локальные учетные данные AWS, червь также сканирует Интернет на наличие неправильно сконфигурированных платформ Docker и Kubernetes orchestration, чтобы развернуть образы и установить себя в новый контейнер.
Кадо сказал, что это первый раз, когда он видит такую функцию кражи кредитов AWS.
Поставщик безопасности заявил, что обнаружил 119 скомпрометированных систем, некоторые из которых были идентифицированы как кластеры Kubernetes и серверы сборки Jenkins.
Серверы были обнаружены, когда злоумышленники TeamTNT также развернули инструмент майнинга криптовалют XMRig Monero, и Cado смог отслеживать один из пулов, используемых для сбора информации на скомпрометированных серверах.
TeamTNT, похоже, скопировал код из более раннего червя Kinsing, который используется для остановки службы облачной безопасности Alibaba.
Код червя впервые появился в мае этого года, когда Твиттер-аккаунт MalwareHunterTeam опубликовал подробную информацию о нем, а вскоре после этого Trend Micro предоставила дальнейший анализ.
В то время связанный с ним вариант червя отбросил крипто-майнеры и разместил распределенный бот отказа в обслуживании, используя контейнеры Alpine Linux.
Пользователям рекомендуется выяснить, где хранятся их файлы учетных данных AWS, и удалить их, если это не требуется.
Правила брандмауэра для ограничения доступа к интерфейсам прикладного программирования Docker также рекомендуются, используя подход белого списка, предложил Кадо.