安全研究專家近日發現了疑似首個加密挖礦惡意軟件，可以從受感染的服務器中竊取AWS憑證。這種新型數據竊取功能是TeamTNT（主要針對Docker安裝的網絡犯罪集團）使用的惡意軟件。

根據安全公司趨勢科技今年早些時候發布的研究報告，該組織至少從4 月開始就已經開始活躍。根據報告，TeamTNT 的運作方式是在互聯網上掃描那些被錯誤配置的Docker 系統，並在沒有密碼的情況下將其管理API 暴露在互聯網上。

該組織會訪問API，並在Docker安裝內部署服務器，運行DDoS和加密挖掘惡意軟件。根據英國安全公司Cado Security 在8月17日發布的最新報告，這款惡意程序除了上述功能之外，還將攻擊範圍擴大到了Kubernetes 安裝。

雖然擴大目標通常是非常重要的，不過Cado 研究人員表示該惡意程序還有一個更嚴重的功能，即掃描底層受感染服務器的任意亞馬遜網絡服務（AWS）憑證。

如果受感染的Docker 和Kubernetes 系統運行在AWS 基礎設施之上，TeamTNT 團伙就會掃描~/.aws/redentials 和~/.aws/config，並將這兩個文件複製並上傳到其命令和控制服務器上。這兩個文件都沒有加密，包含了底層AWS賬戶和基礎設施的明文憑證和配置細節。