安全研究专家近日发现了疑似首个加密挖矿恶意软件，可以从受感染的服务器中窃取 AWS 凭证。这种新型数据窃取功能是 TeamTNT（主要针对 Docker 安装的网络犯罪集团） 使用的恶意软件。

根据安全公司趋势科技今年早些时候发布的研究报告，该组织至少从 4 月开始就已经开始活跃。根据报告，TeamTNT 的运作方式是在互联网上扫描那些被错误配置的 Docker 系统，并在没有密码的情况下将其管理 API 暴露在互联网上。

该组织会访问API，并在Docker安装内部署服务器，运行DDoS和加密挖掘恶意软件。根据英国安全公司 Cado Security 在8月17日发布的最新报告，这款恶意程序除了上述功能之外，还将攻击范围扩大到了 Kubernetes 安装。

虽然扩大目标通常是非常重要的，不过 Cado 研究人员表示该恶意程序还有一个更严重的功能，即扫描底层受感染服务器的任意亚马逊网络服务（AWS）凭证。

如果受感染的 Docker 和 Kubernetes 系统运行在 AWS 基础设施之上，TeamTNT 团伙就会扫描 ~/.aws/redentials 和 ~/.aws/config，并将这两个文件复制并上传到其命令和控制服务器上。这两个文件都没有加密，包含了底层AWS账户和基础设施的明文凭证和配置细节。