Sysdig Threat Research 팀은 Kubernetes 포드를 목표로 TeamTNT의 공격을 감지했습니다.
이 공격은 새로운 전략을 슬롯 나라 외부 노출 된 포드를 통해 AWS 자격 증명을 훔치기 위해 새로운 전략을 사용합니다.
Teamtnt는 Cryptocurrency 채굴 및 클라우드 인프라에 대한 인증을 목표로하는 공격으로 유명합니다.
이번에는 AWS 메타 데이터를 통해 손상된 시스템으로부터 IAM 역할 인증 정보를 얻는 방법이 채택되었습니다.
AWS 메타 데이터는 EC2 인스턴스를 구성하고 관리하는 데 슬롯 나라되며 IAM 역할에 대한 정보를 포함하여 공격자가 클라우드 내에서 악용 및 측면 이동을 할 수 있습니다.
척도로서, 다중 요소 인증 향상, EC2 인스턴스 메타 데이터에 대한 액세스 제한 및 IAM 역할 권한을 최소화하는 것이 좋습니다.
FALCO를 통해 컨테이너는 EC2 인스턴스 메타 데이터에 대한 무단 액세스 시도를 감지 할 수 있습니다.