TeamTNT：潜在攻击者现已扩展至Azure和GCP

关键要点

• TeamTNT恶意软件组从窃取AWS云凭证转向Microsoft Azure和Google Cloud Platform。
• 攻击者利用开放的Docker实例部署蠕虫传播模块。
• 组织在多云环境中面临增强的安全隐患，需重视应用和服务凭证安全。

近年来，TeamTNT恶意软件组可能开始将其攻击目标从原本的AWS云凭证扩展到Microsoft Azure和Google CloudPlatform（GCP）。根据7月13日由和发布的博客，研究人员指出攻击者首要目标是暴露的Docker实例，以便部署类似蠕虫的传播模块。

尽管这些攻击活动与TeamTNT有一定相似之处，研究人员仍表示，确定具体责任方存在挑战，因为任何人都可以对代码进行适应性修改。

攻击过程揭秘

SentinelLabs研究人员表示，从6月14日至6月30日，他们与Permiso团队合作，追踪和分析与此次针对Azure和GCP上暴露Docker服务的新攻击活动相关的文件。研究团队指出，此类攻击的标志性shell脚本仍然是核心组件，尽管他们也发现了一种用编写的可执行链接格式（ELF）二进制文件。Aqua的研究团队最近也这些威胁行为者滥用Docker镜像的元素，并表示他们强烈相信TeamTNT参与其中。

威胁者转向Azure和GCP的原因

Teresa Rothaar，KeeperSecurity的治理、风险与合规分析师指出，传统上，Azure和GCP由于缺乏与AWS相提并论的人气，受到的网络攻击相对少见，类似于大多数病毒攻击Windows电脑而非Mac。这一情况可能使某些组织在面临较少威胁时放松了对这些平台的安全防护。

“然而，随着组织逐渐向多云环境转型，Azure和GCP的受欢迎程度逐步上升，”Rothaar表示。“结果是，攻击者加大了对它们的攻击力度。值得注意的是，这些攻击者的目标是Docker容器而非人类用户，这突显了不仅要保护人体凭证，还要重视应用和服务所使用的凭证的安全性。组织必须确保其Docker容器的配置得当，以避免在开放互联网中暴露，并仅限于绝对需要访问的用户、应用和服务。”

Tanium的首席安全顾问TimothyMorris补充指出，研究人员展示了攻击者提升了针对云凭证的攻击策略。Morris强调，这显然表明他们的成熟度通过更好的格式和模块化脚本方法有了提升。

“这也是一个清晰的信号，表明更多的攻击即将到来，他们只会变得更加高效和隐秘，”Morris说道。“组织需要密切监控他们的云资产，牢记基础要素：强大的多因素认证、最少权限、确保快速打补丁，并确认所有云和容器实例配置正确。”