2024年度クラウドネイティブセキュリティおよび利用状況レポート
TeamTNTは2019年後半から活動している脅威アクターで、KubernetesやDockerなどのクラウド環境を標的にしています。
主に認証情報の窃取やクリプトマイニングを目的としており、2020年には安全でないDocker APIエンドポイントを利用し、2021年12月には脆弱なWordPress Podを攻撃してAWSの認証情報を盗む活動が分析されました。
最近では、Kubernetesクラスターのkubeletサービスの設定ミスを悪用したキャンペーンが発見され、攻撃者はPodにアクセスしてバイナリをダウンロードし、悪意ある実行を開始しました。
この攻撃は認証情報窃取を目的としており、AWS関連のクレデンシャルや他の機密情報を標的にしています。
対策としては、kubeletサービスへの匿名リクエストの公開を避け、資格情報をPodやマシンに保存しないこと、セキュリティのベストプラクティスを実施することが推奨されます。
