研究人员表示，TeamTNT似乎正在为更广泛的云蠕虫攻击做准备。

在过去的几个月里，针对亚马逊网络服务(AWS)环境的复杂的云凭证窃取和密码挖掘活动现在已经扩展到Azure和谷歌云平台(GCP)。而且，研究人员已经确定，该活动中使用的工具与TeamTNT相关的工具有相当大的重叠，TeamTNT是一个臭名昭著的、出于经济动机的威胁行为者。

据SentinelOne和Permiso的研究人员称，更广泛的攻击目标似乎是从今年6月开始的，这与自去年12月一系列攻击开始以来，该活动背后的威胁行为者不断对其进行的一系列增量改进是一致的。

两家公司在各自的报告中指出，针对Azure和谷歌云服务的攻击涉及的核心攻击脚本，与背后的威胁组织在AWS攻击中使用的脚本相同。然而，与AWS工具相比，Azure和GCP功能还处于初级阶段，开发程度较低，SentinelOne的威胁研究员Alex Delamotte表示。

她说:“攻击者只在最近的6月24日和更新的攻击中实施了Azure凭证收集模块。这种发展是一致的，如果攻击者认为这是一项有价值的投资，我们可能会在未来几周看到更多针对这些环境的定制自动化工具出现。”

TeamTNT威胁组以攻击暴露的云服务而闻名，并通过利用云错误配置和漏洞而蓬勃发展。虽然TeamTNT最初专注于加密采矿活动，但最近它已经扩展到数据盗窃和后门部署活动，最新的活动也反映了这一点。

在这种情况下，根据SentinelOne和Permiso的说法，攻击者从上个月开始瞄准暴露的Docker服务，使用新修改的shell脚本来确定它们所处的环境，分析系统，搜索凭证文件，并泄漏它们。

SentineOne研究人员说，该脚本还包含一个收集环境变量细节的功能，可能用于确定系统上是否有其他有价值的服务，以便以后进行攻击。“

Delamotte说：“攻击者的工具集列举了服务环境信息，而不管底层云服务提供商是谁。我们在Azure或GCP上看到的唯一自动化与凭证收集有关。任何后续活动都可能是用手敲击键盘。”

这一发现为Aqua Security最近的研究提供了补充，该研究显示了针对面向公众的Docker和JupyterLab api的恶意活动。Aqua的研究人员满怀信心地将这一活动归功于TeamTNT。

他们评估称，该威胁行为者正在准备一种侵略性云蠕虫，旨在部署在AWS环境中，目的是促进云凭证盗窃、资源劫持和部署一个名为海啸的后门。

同样，SentinelOne和Permiso对不断演变的威胁的联合分析表明，除了早期攻击的shell脚本外，TeamTNT现在还提供了一个upx封装的、基于golang的ELF二进制文件。二进制文件基本上删除并执行另一个shell脚本，用于扫描攻击者指定的范围并传播到其他易受攻击的目标。