Эксперты выявили первый червь-криптомайнер, крадущий учётные данные AWS

Эксперты выявили первый червь-криптомайнер, крадущий учётные данные AWS

Новый червь-криптомайнер стал первой вредоносной программой, крадущей с заражённых серверов учётные данные AWS. Согласно имеющейся у исследователей информации, этим зловредом пользуется киберпреступная группировка TeamTNT.

Первые операции TeamTNT эксперты Trend Micro зафиксировали ещё в апреле. На тот момент группа атаковала инсталляции Docker.

Свои атаки TeamTNT начинала со сканирования интернета в поисках некорректно сконфигурированных систем Docker. В частности, злоумышленники искали открытые в Сеть API без пароля.

Если операторы получают доступ к таким API, внутри установки Docker разворачиваются серверы, которые впоследствии будут запускать DDoS-атаки и вредоносные криптомайнеры.

В новом отчёте компании Cado Security специалисты отмечают, что группа TeamTNT недавно пересмотрела подход к своим операциям. Например, операторы начали атаковать инсталляции Kubernetes.

Но, пожалуй, самым важным изменением в кампаниях TeamTNT стала погоня за учётными данными Amazon Web Services (AWS). Если заражённая система Docker или Kubernetes работает поверх инфраструктуры AWS, группировка ищет ~/.aws/credentials и ~/.aws/config и загружает эти файлы на командный сервер (C2C).

 

Оба файла, за которыми охотятся киберпреступники, ничем не зашифрованы. В них находятся учётные данные в виде простого текста, а также подробности конфигурации AWS-аккаунта. Таким образом, помимо операций криптомайнинга, у группировки открывается ещё один способ заработка — можно продавать украденные логины и пароли на форумах дарквеба.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишеры атакуют небольшие российские организации под видом компании из Дубая

В новой фишинговой кампании киберпреступники пытаются достать учётные данные от почтовых ящиков сотрудников небольших российских организаций. Для прикрытия используется некая дубайская компания, которую интересует наличие продукта.

Как выяснили специалисты «Лаборатории Касперского», злоумышленники пишут целевым сотрудникам от имени главы отдела закупок дубайской компании. Их интересует наличие того или иного товара или аналогичные модели.

Подробностей в этих электронных письмах нет, зато есть ссылка, которая с виду ведёт на файлообменник, где можно посмотреть детали заказа на поставку. Если работник кликнет по такому URL, его переведут на фейковую страницу, имитирующую окно аутентификации популярного почтового сервиса.

Само собой, введя логин и пароль на этой странице, вы отправляете их прямиком в руки фишеров, а у последних появляется полный доступ к вашему почтовому ящику.

Более того, заполучив контроль над вашим имейлом, злоумышленник может сбрасывать пароли на других сайтах (где ящик использовался при регистрации).

Киберпреступники предусмотрительно составляют фишинговые письма на русском языке, причём делают это даже без опечаток, как отметили исследователи из Kaspersky.

Тем не менее можно сразу отметить несколько моментов, как минимум вызывающих подозрения: например, письмо приходит с личного, а не корпоративного имейла; более того, отправитель обращается на «ты» и начинает письмо со слова «привет». Такое, конечно, недопустимо в деловой переписке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru