De criminele hackers van TeamTNT gebruiken nu meer geavanceerde technologie om inloggegevens van containerplatform Docker en van AWS te ontvreemden. Dit stellen de securityspecialisten van Trend Micro op basis van onderzoek.
Volgens de experts van Trend Micro zochten de hackers van de TeamTNT-groep al in 2020 naar Docker-systemen die hun beheer API-poort niet met een wachtwoord hadden beveiligd. Op deze Docker-systemen installeerden zijn vervolgens cryptomining malware. Daarnaast probeerden zij op deze manier ook AWS-inloggegevens te ontvreemden. Dit om andere systemen binnen bedrijven te kunnen aanvallen of om meer servers in een botnet te veranderen en meer crypto-miners uit te rollen.
Meer geavanceerde technieken
Recent heeft Trend Micro ontdekt dat dezelfde hackers nu meer geavanceerde technieken gebruiken voor deze aanvallen. Zo is de hoeveelheid malware code flink verminderd en zijn de diverse samples goed geschreven en van duidelijk georganiseerde namen voorzien.
Daarnaast worden nu ook Docker API-inloggegevens verzameld boven op de code die de AWS-gegevens moet ontvreemden. De onderzoekers van Trend Micro denken dat deze eigenschap is ontwikkeld om ook containerplatforms aan te vallen op andere toegangspunten dat alleen de originele Docker API-poort.
Oplossingen Trend Micro
Trend Micro roept gebruikers van Docker op om niet meer alleen hun Docker API’s met behulp van zeer sterke wachtwoorden van authenticatie te voorzien. Het is volgens de experts ook zeer belangrijk ervoor te zorgen dat de Docker beheer API’s niet meer online zichtbaar zijn. Verder roepen zij op om ook firewalls in te zetten met speciale access-lijsten om zo de toegang tot de APi’s zoveel mogelijk te beperken.
17 uur geleden
