TeamTNT: New Credential Harvester Menargetkan Layanan Cloud dan Perangkat Lunak lainnya

  • Whatsapp
TeamTNT: New Credential Harvester Menargetkan Layanan Cloud dan Perangkat Lunak lainnya

 

Rahasia harus dijaga kerahasiaannya agar jaringan dapat dilindungi dan serangan rantai pasokan dapat dihindari. Aktor jahat sering menargetkan rahasia dalam mekanisme penyimpanan dan mengambil kredensial dari sistem yang telah disusupi. Perangkat lunak DevOps sering menyimpan kredensial dalam teks biasa yang dapat diakses bahkan tanpa campur tangan pengguna, yang menimbulkan risiko keamanan yang signifikan.
Saat berada di dalam perangkat korban, pelaku jahat diketahui mencuri kredensial penyedia layanan cloud (CSP). Misalnya, grup penjahat dunia maya TeamTNT tidak asing lagi menyerang kontainer cloud, memperluas persenjataan mereka untuk mencuri kredensial cloud, dan bereksperimen dengan lingkungan baru dan aktivitas yang mengganggu.
Trend Micro menemukan bukti baru bahwa TeamTNT telah memperluas kemampuan memanen kredensial untuk mengancam berbagai layanan cloud dan non-cloud di jaringan dan sistem internal korban pasca-kompromi dalam rutinitas serangan terbaru grup.
Malware yang dibuat oleh TeamTNT dirancang untuk mencuri kredensial dari aplikasi dan layanan tertentu. Itu menginfeksi mesin Linux dengan kerentanan seperti kunci pribadi yang terbuka dan kata sandi daur ulang, dan itu berfokus pada mencari data terkait cloud pada perangkat yang terinfeksi.
Kesalahan konfigurasi awan dan kata sandi yang berulang, seperti pada serangan grup lainnya, memudahkan untuk mendapatkan akses ke perangkat korban. Untuk mendapatkan akses ke sistem lain, komunitas mengambil kredensial untuk Secure Shell (SSH) dan Server Message Block (SMB), seperti sebelumnya. Kedua strategi intrusi memiliki kemampuan untuk menyebarkan muatannya dengan cara seperti worm.
Malware mencari konfigurasi dan data aplikasi berdasarkan daftar pencarian saat berjalan melalui perangkat yang ditautkan, dan mengirimkannya ke server command-and-control (C&C), menggunakan file a.netrc untuk masuk secara otomatis menggunakan kredensial yang dipanen. Membandingkan pemanen dengan versi grup sebelumnya, Trend Micro melihat peningkatan target yang signifikan.
Karena muatan TeamTNT difokuskan pada penambangan Monero ilegal, tidak mengherankan jika malware mencari sistem yang terinfeksi untuk data konfigurasi Monero. Malware mencari dompet Monero di semua perangkat yang dapat diakses grup tersebut. Malware mencoba untuk menghapus semua jejak dirinya dari perangkat yang terinfeksi di akhir rutinitasnya. Menurut penelitian, sangat disarankan bahwa hal ini tidak tercapai secara efektif. Meskipun perintah “history -c” menghapus riwayat Bash, beberapa perintah terus berjalan dan meninggalkan jejak di bagian lain perangkat.
Aktor jahat sengaja mencari jaringan dan sistem internal untuk kredensial pengguna yang sah untuk memfasilitasi aktivitas pasca-intrusi mereka. Mereka dapat menggunakan layanan cloud yang dibayar oleh organisasi yang sah untuk tujuan jahat lainnya jika mereka memiliki kredensial CSP.
Selain itu, kredensial teks biasa adalah tambang emas bagi penjahat dunia maya, terutama bila digunakan dalam serangan berikutnya. Kerentanan, terutama yang berada di sistem yang menghadap ke internet tanpa patch dan tidak aman, adalah sama.
Pelanggan disarankan untuk menggunakan brankas tersembunyi yang disediakan oleh CSP mereka dan mengadopsi praktik terbaik ini untuk meminimalkan risiko rutinitas TeamTNT ini dan ancaman terkait lainnya:
1. Mengadopsi model tanggung jawab kolektif dan menegakkan konsep hak istimewa paling rendah.
2. Ganti kredensial default dengan kata sandi yang kuat dan stabil dan pastikan bahwa pengaturan keamanan berbagai lingkungan sistem dipersonalisasi untuk kebutuhan perusahaan.
3. Hindari menyimpan kata sandi dalam teks biasa dan gunakan otentikasi multifaktor.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *