一名恶意行为者被发现与2023年6月一场云凭证窃取活动有关,这场活动主要针对Azure和Google Cloud Platform (GCP)服务,这标志着该敌手的目标范围已扩大到Amazon Web Services (AWS)之外。
这些发现来自SentinelOne和Permiso,他们表示“这些活动与臭名昭著的TeamTNT加密挖矿团队所使用的工具有相似之处”,尽管他们强调“对于基于脚本的工具,归属问题仍然具有挑战性。”
他们还发现,这些活动与Aqua披露的一项名为Silentbob的正在进行的TeamTNT活动有重叠,该活动利用配置错误的云服务下放恶意软件,被称为是一种测试努力,同时也将SCARLETEEL攻击与这个威胁行为者联系起来,理由是他们的基础设施有共性。
"Aqua注意到,"TeamTNT正在扫描多个云环境的凭证,包括AWS,Azure和GCP。"
这些攻击专门针对面向公众的Docker实例,部署一种类似蠕虫的传播模块,这是一种之前曾在2022年12月针对Jupyter Notebooks的入侵集的延续。
在2023年6月15日至2023年7月11日之间,已发现多达八个增量版本的凭证收集脚本,表明这是一场正在积极演变的活动。
这些新版本的恶意软件旨在收集来自AWS,Azure,Google Cloud Platform,Censys,Docker,Filezilla,Git,Grafana,Kubernetes,Linux,Ngrok,PostgreSQL,Redis,S3QL和SMB的凭证。收集到的凭证然后被发送到威胁行为者控制的远程服务器。
SentinelOne表示,凭证收集逻辑和目标文件与TeamTNT在2022年9月进行的一场针对Kubelet的活动有相似之处。
除了shell脚本恶意软件外,威胁行为者还被观察到分发一种基于Golang的ELF二进制文件,该文件作为一个扫描器,将恶意软件传播到易受攻击的目标。该二进制文件进一步放置了一个名为Zgrab的Golang网络扫描实用程序。
"这场活动展示了一位熟悉多种技术的经验丰富的云行为者的演变,"安全研究员Alex Delamotte,Ian Ahl和Daniel Bohannon表示。"他们对细节的精心注意表明,这个行为者显然经历了大量的试验和错误。"
"这个行为者正在积极调整和改进他们的工具。根据过去几周观察到的调整,这个行为者可能正在为更大规模的活动做准备。"
原文始发于微信公众号(XDsecurity):威胁情报信息分享|TeamTNT的云凭证窃取活动现在针对Azure和Google Cloud
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论