資安研究人員發現新版挖礦僵屍網路,會竊取 AWS 登入資訊
- 發布單位:TWCERT/CC
- 更新日期:2020-08-24
- 點閱次數:2221

資安研究人員發表研究報告,指出近期有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。
資安廠商 Cado Secutiry 旗下的研究人員,日前發表研究報告,指出近期發現有個挖礦僵屍網路,除了會盜用受害者的計算資源挖礦外,還會竊取 AWS 伺服器的登入資訊。
這個僵屍網路過去曾被趨勢科技資安團隊截獲,當時命名為 Team TNT,Cado Security 發現 Team TNT 最近增加了新功能,不但專門鎖定使用 Docker 或 Kubernates 的容器平台進行駭侵攻擊,而且還會竊取 host 所在 AWS 伺服器的登入資訊。
除了竊取 AWS 登入資訊外,新版 Team TNT 僵屍網路還會掃瞄本機端的各種登入資訊,並且掃瞄 internet 上配置不當的其他 Docker 和 Kubernates 平台。
Cado Security 的研究人員將試驗用的登入資訊傳送給 Team TNT 的控制伺服器,從而證實了目前 Team TNT 還沒有開始針對收集來的配置不良 Docker 與 Kubernates 容器進行攻擊。
Team TNT 借用了另一個名為 Kinsing 的惡意軟體部分程式,這支惡意軟體除了會挖礦之外,也會針對 Docker 平台進行攻擊。
資安專家指出,絕對不要在系統內儲存 AWS 或任何其他系統的未加密登入資訊,也應針對 Docker 平台加上強化的防火牆保護,禁止任何不必要的網路存取。