TeamTNT|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. TeamTNT
             

TeamTNT

TeamTNTは、主にクラウド環境やコンテナを標的とするサイバー犯罪グループで、マイニングマルウェアの展開やリモートアクセスを利用した不正な暗号通貨の採掘を行う攻撃活動で知られています。TeamTNTは、AWS(Amazon Web Services)やDockerなどのクラウドインフラやコンテナ技術の脆弱性を悪用し、リソースを奪って暗号通貨をマイニングすることで利益を得る活動を行っており、特にDevOpsやクラウド運用環境で脅威とされています。

このグループは、攻撃スクリプトやツールを使用して感染拡大を図るだけでなく、攻撃後もリモートアクセスによる持続的なアクセス(Persistence)を確保する手法を持つなど、高度な攻撃手法を用いてクラウド環境に侵入します。

TeamTNTの攻撃手法

TeamTNTの攻撃は、以下のような手法とツールを活用し、クラウドやコンテナ環境に不正にアクセスしてマイニング活動を行います。

  1. 脆弱なクレデンシャルの悪用
    AWSなどのクラウドインフラで、初期設定のままのアカウントや簡易なパスワード設定がある場合に侵入し、アクセス権を取得します。SSHやAPIクレデンシャルをスキャンして、脆弱なクレデンシャルを使いリモートアクセスを確保します。
  2. Docker APIの悪用
    セキュリティ設定が不十分なDocker APIを悪用して、リモートから新たなコンテナを作成し、マルウェアやマイニングツールをインストールします。公開されたDocker APIは、TeamTNTによる標的の一つで、ここからクラウド環境へのアクセスや感染拡大が行われます。
  3. 感染拡大と横移動(Lateral Movement)
    TeamTNTは、侵入したサーバーやコンテナ内でさらに他のノードをスキャンし、侵入経路を広げます。SSHキーの窃取やネットワークスキャンを用いて、クラウド内の他のシステムへのアクセスを試み、感染範囲を拡大します。
  4. 暗号通貨マイニングマルウェアの展開
    TeamTNTは、侵入した環境に「XMRig」などの暗号通貨マイニングツールをインストールし、クラウドのリソースを利用してモネロ(Monero)などの暗号通貨のマイニングを行います。マイニングで得た収益は、TeamTNTに送られる仕組みです。
  5. リモートアクセスツールの設置
    攻撃後の持続的なアクセスを維持するため、バックドアやリモートアクセスツールをインストールし、システムへの再侵入を図ります。TeamTNTは、後からの管理や制御が可能なように、バックドアアクセスも確保しています。

TeamTNTの攻撃に対する影響

TeamTNTの攻撃は、クラウド環境やコンテナのセキュリティに脆弱性がある場合、次のような影響を及ぼすことがあります。

  • クラウドリソースの大量消費:不正なマイニングによってクラウドの計算リソースが大量に消費され、クラウド利用料金が急増するリスクがあります。
  • パフォーマンス低下:マイニング活動によりCPUやメモリリソースが消費されるため、システムやアプリケーションのパフォーマンスが低下し、サービスの品質が損なわれます。
  • セキュリティリスクの拡大:SSHキーの窃取やバックドアの設置によって、システム全体のセキュリティが脆弱になり、さらなる攻撃や不正利用が発生する可能性があります。

TeamTNTの活動で使用される代表的なツール

TeamTNTは、以下のツールやスクリプトを使用して、クラウドやコンテナ環境に対する攻撃を行います。

  • XMRig:Moneroなどの暗号通貨をマイニングするためのツールで、不正なマイニング活動に使用されます。
  • Tsunami:ネットワークスキャナであり、感染先からさらに他のホストをスキャンし、感染拡大に利用されます。
  • Weave Scope:通常はコンテナ可視化ツールとして使用されますが、TeamTNTはこれを悪用し、ネットワークやコンテナの可視化を行い、感染範囲を広げる目的で利用します。

TeamTNTの攻撃を防ぐための対策

TeamTNTによるクラウドやコンテナ環境の攻撃を防ぐには、以下のような対策が有効です。

  1. Docker APIのアクセス制限
    Docker APIは公開しないように設定し、外部からのアクセスを制限することが推奨されます。必要な場合は、認証機能を有効にして安全なアクセスを確保します。
  2. 強力なパスワード設定
    デフォルトの設定や弱いパスワードを避け、SSHやAPIクレデンシャルには強力なパスワードやキー認証を使用し、不正アクセスを防ぎます。
  3. 二要素認証の導入
    AWSやクラウドサービスに対するアクセスには二要素認証(2FA)を有効にし、アクセス制御を強化します。
  4. アクセスログとネットワークモニタリング
    クラウド環境やコンテナのアクセスログを定期的に確認し、異常なログインやアクセスがないか監視します。ネットワークスキャンなどの不審な活動が発生した場合は、早急に対応を行います。
  5. セキュリティパッチの適用
    OSやミドルウェア、コンテナ環境に対して定期的にセキュリティパッチを適用し、既知の脆弱性を修正します。
  6. リソース消費の監視
    サーバーやクラウド環境のリソース消費量(CPU、メモリ、ネットワーク帯域など)を監視し、異常な消費が発生した場合にアラートが発動するように設定します。

まとめ

TeamTNTは、クラウド環境やコンテナを狙ったサイバー攻撃グループであり、特にマイニング活動や不正なリモートアクセスを目的とした攻撃を行うことで知られています。AWSやDockerなど、クラウドインフラの脆弱性を悪用することでリソースを消費し、被害者に高額なクラウド料金やシステムパフォーマンス低下といった影響を及ぼします。このような攻撃からシステムを守るためには、アクセス制限の徹底や監視、セキュリティパッチの適用など、多層的なセキュリティ対策を講じることが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。