在调查TeamTNT的活动时,趋势科技的研究人员发现了一个二进制文件,其中包含一个硬编码的shell脚本,该脚本旨在窃取AWS凭据。以此为线索最终发现超过4000例感染实例,这些实例并非都运行在AWS服务器上,但其上部署的恶意软件旨在攻击AWS用户。与之前发现的TeamTNT攻击活动类似,攻击者利用配置错误(例如对外开放的Redis实例和泄露的安全凭据)和漏洞,以获得对系统的远程访问权限并部署下一阶段的攻击,例如安装加密货币矿工。落地后,脚本首先会检索AWS元数据服务相关凭据,无论搜索是否成功都会创建一个文件并上传到远程 Web 服务器,该服务器设置为接收被盗文件。除了存储被盗数据外,该服务器还充当了加密货币挖矿工具的存储库。