TeamTNT isimli kripto para madenciliği botnetinin geçen yaz AWS kimlik bilgilerini çaldığı ortaya çıkmıştı. Botnetin artık Docker API oturum açma bilgilerini de çalmaya başladığı ortaya çıktı. Bu da kullanıcıları internete açık tüm Docker arabirimleri için güvenlik duvarlarını kullanmaya mecbur bırakıyor.
Güvenlik firması Trend Micro’nun analistleri bugün açıkladıkları bir raporda Docker ve AWS kimlik bilgilerini toplayan kripto para madenciliği botneti tespit ettiklerini söylediler.
Araştırmacılar botnet’i TeamTNT olarak bilinen bir siber suç operasyonu ile ilişkilendirdiler. Bu grubun ilk olarak 2020 yazında yanlış yapılandırılmış konteyner platformlarına kripto para madenciliği amaçlı kötü amaçlı yazılımları yüklediği tespit edildi.
O zamanki ilk raporlara göre, TeamTNT’nin yönetim API bağlantı noktalarını çevrimiçi olarak parola olmadan açığa çıkaran Docker sistemlerini arayarak konteyner platformlarına izinsiz giriş yaptığı ortaya çıkmıştı.
Siber güvenlik araştırmacıları, TeamTNT grubunun açıkta kalan Docker konteynerlerine erişebileceğini ve bir kripto madenciliği kötü amaçlı yazılım kurabileceğini söyledi. Bununla birlikte, daha fazla sunucuyu etkilemek ve daha fazla kripto madencisini dağıtmak için bir şirketin diğer BT sistemlerine girmek amacıyla Amazon Web Services (AWS) sunucularının kimlik bilgilerini çalabildiklerini de bildirdiler.
Araştırmacılar o zamanlar, TeamTNT’nin AWS kimlik bilgilerini toplamaya adanmış bir özelliği uygulayan ilk kripto madenciliği botnet olduğunu söylemişti.
TEAMTNT geçen zaman ile daha da etkili hale geldi
Ancak bugün yayınlanan bir raporda Trend Micro araştırmacıları, TeamTNT çetesinin kötü amaçlı yazılım kodunun geçen yaz ilk görüldüğünden bu yana önemli güncellemeler aldığını söyledi.
Trend Micro’da kıdemli bir güvenlik araştırmacısı olan Alfredo Oliveira, “Geçmişteki benzer saldırılarla karşılaştırıldığında, bu komut dosyası için geliştirme tekniği çok daha rafine görünüyor” dedi. “Artık sonsuz kod satırları yoktu, örnekler iyi yazılmış ve açıklayıcı adlarla işleve göre düzenlenmişti.”
Oliveira yaptığı açıklamada ayrıca, TeamTNT’nin AWS kredi çalma kodunun üzerine Docker API kimlik bilgilerini toplamak için bir özellik eklediğini de söyledi.
Bu özellik, büyük olasılıkla botnet’in ana bilgisayarlara orijinal Docker API bağlantı noktası tarama özelliği dışında başka giriş noktaları kullanarak giriş yaptığı konteyner platformlarında kullanılıyor.
Oliveira, bu özelliğin eklenmesiyle “[Docker] API kimlik doğrulamasını uygulamanın yeterli olmadığını” ve şirketlerin, güçlü şifreler kullanırken bile Docker yönetim API’lerinin ilk etapta çevrimiçi olarak açığa çıkmamasını sağlamaları gerektiğini belirtiyor.
Kaynak: zdnet.com
Bunlar da İlginizi Çekebilir
Microsoft Teams’e Mart Ayında Yeni Dinamik Görünüm Özelliği Geliyor
PsExec’de 14 Yıllık Zero-Day Zafiyeti Keşfedildi
Apple ve Hyundai Otomobil Üretimi Üzerine Görüşüyor