La botnet TeamTNT se actualizó para robar las credenciales de Docker y AWS

Los investigadores de Trend Micro han documentado una botnet llamada TeamTNT, que ahora está robando las credenciales de Docker.. TeamTNT infecta hosts a través de las API de Docker expuestas e instala mineros de criptomonedas para extraer monedas. Además, roba las credenciales de AWS, además de ganar criptomonedas.

Una botnet TeamTNT actualizada

La botnet TeamTNT se actualizó para robar las credenciales de Docker y AWSTeamTNT, una botnet de minería de criptomonedas que explota las API de Docker para obtener acceso a los servidores de las víctimas. Estaba primero notado por investigadores de Trend Micro a mediados de 2020, quienes detallaron sus actividades mientras se beneficiaban de las API de Docker configuradas incorrectamente, para iniciar sesión e instalar software de minería de criptomonedas para ganar las monedas.

Los operadores del sistema que utilizan el software Docker y dejan sus puertos abiertos sin ninguna autenticación son objetivos de TeamTNT. Explotan esto para entrar y dicen que están robando credenciales de AWS e instalando su software de minería para acuñar criptomonedas.
Ahora, los mismos investigadores dijeron esta botnet se ha actualizado para robar incluso las credenciales de Docker.

Lea también: Cómo los ataques cibernéticos de IA y ML pueden tener consecuencias en el mundo real

Mientras usa las credenciales de AWS para pivotar en la red del host (individual o empresa) y propagarse a otras máquinas conectadas para instalar software de minería de cifrado y ganar más. Esto convirtió a TeamTNT en la primera botnet en robar credenciales de AWS, además de ganar criptomonedas.

Ahora, sobre la nueva actualización, El investigador senior de seguridad de Trend Micro, Alfredo Oliveira, dijo:

«la técnica de desarrollo fue mucho más refinada para este script. » Avance, «ya no había infinitas líneas de código y las muestras estaban bien escritas y organizadas por función con nombres descriptivos. «

Dado que robar las credenciales de Docker ofrece más ventajas, alertó a los usuarios sobre defina cortafuegos para limitar el acceso al puerto y simplemente establezca contraseñas seguras. Cerrar puertos inactivos y limitar estrictamente el acceso a unos pocos puede desencadenar la mayoría de los ataques de botnets, como hemos aprendido en el pasado.