按Enter到主內容區

資安研究人員發現新版挖礦僵屍網路,會竊取 AWS 登入資訊

  • 發布日期:109-11-20
  • 發布單位:刑事警察大隊

參考網站:
TWCERT/CC資安研究人員發現新版挖礦僵屍網路,會竊取 AWS 登入資訊
https://www.twcert.org.tw/tw/cp-104-3874-e6509-1.html
資安研究人員發表研究報告,指出近期有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。
資安廠商 Cado Secutiry 旗下的研究人員,日前發表研究報告,指出近期發現有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。

這個僵屍網路過去曾被趨勢科技資安團隊截獲,當時命名為 Team TNT,Cado Security 發現 Team TNT 最近增加了新功能,不但專門鎖定使用 Docker 或 Kubernates 的容器平台進行駭侵攻擊,而且還會竊取 host 所在 AWS 伺服器的登入資訊。

除了竊取 AWS 登入資訊外,新版 Team TNT 僵屍網路還會掃瞄本機端的各種登入資訊,並且掃瞄 internet 上配置不當的其他 Docker 和 Kubernates 平台。

Cado Security 的研究人員將試驗用的登入資訊傳送給 Team TNT 的控制伺服器,從而證實了目前 Team TNT 還沒有開始針對收集來的配置不良 Docker 與 Kubernates 容器進行攻擊。

Team TNT 借用了另一個名為 Kinsing 的惡意軟體部分程式,這支惡意軟體除了會挖礦之外,也會針對 Docker 平台進行攻擊。

資安專家指出,絕對不要在系統內儲存 AWS 或任何其他系統的未加密登入資訊,也應針對 Docker 平台加上強化的防火牆保護,禁止任何不必要的網路存取。