- Trong tháng 6 năm 2023, TeamTNT đã triển khai chiến dịch tấn công đánh cắp thông tin xác thực đám mây, tập trung vào Azure và Google Cloud Platform (GCP).

Chiến dịch này có nhiều điểm tương đồng với một chiến dịch trước đó của TeamTNT tên là Silentbob. SilentBob sử dụng các dịch vụ đám mây bị cấu hình sai để triển khai mã độc và liên kết với các cuộc tấn công SCARLETEEL.

TeamTNT đang quét thông tin xác thực trên nhiều môi trường đám mây, bao gồm AWS, Azure và GCP. Đối tượng tấn công chọn các phiên bản Docker công khai để triển khai module nhân bản kiểu worm, đây là bước tiếp theo của chiến dịch tấn công trước đó đã nhằm vào Jupyter Notebook hồi tháng 12 năm 2022.

Có tới tám phiên bản của tập lệnh thu thập thông tin trái phép đã được phát hiện từ ngày 15/6/2023 đến 11/07/2023, cho thấy cuộc tấn công đang diễn ra một cách tích cực. Những phiên bản mới này ra đời nhằm thu thập thông tin trái phép từ các dịch vụ như AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux, Ngrok, PostgreSQL, Redis, S3QL và SMB. Thông tin đăng nhập bị đánh cắp sau đó được chuyển đến máy chủ từ xa.

Sự kết nối mật thiết giữa SCARLETEEL và TeamTNT

Một số nhà nghiên cứu bảo mật cho rằng kỹ thuật tấn công của SCARLETEEL có nhiều điểm tương đồng với các chiến dịch của TeamTNT.

Chiến dịch SilentBob của TeamTNT thường chiếm quyền truy cập, đánh cắp thông tin đăng nhập trái phép, xâm nhập vào các hệ thống được kết nối. Tương tự, SCARLETEEL đánh cắp thông tin đăng nhập từ các tệp cấu hình Terraform, cũng như SilentBob.

Mặc dù SCARLETEEL và TeamTNT có điểm giống nhau về cơ sở hạ tầng được sử dụng nhưng cũng có một số điểm khác biệt về chiến thuật, kỹ thuật và quy trình TTPs, đặc biệt là việc sử dụng endpoint AWS tùy chỉnh.

Bởi vậy, theo Trung tâm Giám sát an toàn không gian mạng quốc gia, Cục An toàn thông tin, các cơ quan, tổ chức cần tiến hành rà soát để áp dụng kịp thời các biện pháp bảo mật phù hợp.

PV