安全企业Cado Security近日披露,他们发现TeamTNT黑客集团所打造的新一代挖矿蠕虫,多了一项用来窃取存放在Docker及Kubernetes系统上AWS凭证的功能,这些Docker及Kubernetes系统可能因为缺乏密码保护,或是配置错误,而成为TeamTNT蠕虫的目标。
TeamTNT蠕虫首次现身是在今年的5月,当时趋势科技分析,这是一个锁定Docker传输端口的分布式拒绝服务攻击(DDoS)僵尸网络,而且也会植入恶意挖矿程序。
而今,TeamTNT蠕虫不只将危害范围扩大到Kubernetes系统,也添加了窃取AWS凭证的功能,把在Docker与Kubernetes系统中找到的AWS凭证发送到黑客服务器上。
此外,Cado Security警告,绝大多数的挖矿蠕虫都是从不同的挖矿程序东拼西凑而成,在新版TeamTNT蠕虫现身之后,相信其它的挖矿蠕虫也会复制它的AWS凭证窃取能力。
Cado Security建议开发者应该要盘点有哪些系统存放AWS凭证,若非必要应将它们删除;也应利用防火墙规则限制Docker APIs的访问能力,强烈推荐使用白名单机制;检查系统的网络流量是否连至任何的采矿池,或是AWS凭证文件是否曾被输出。