De TeamTNT-hackgroep heeft haar spel verbeterd met een set tools waarmee ze zonder onderscheid meerdere besturingssystemen kunnen aanvallen.
Op woensdag publiceerden cybersecurity-onderzoekers van AT&T Alien Labs een rapport over een nieuwe campagne, genaamd Chimaera, die vermoedelijk op 25 juli 2021 zou zijn begonnen — op basis van command-and-control (C2) serverlogboeken — en een die een toegenomen afhankelijkheid van open source-tools door de bedreigingsgroep aan het licht heeft gebracht.
TeamTNT werd vorig jaar voor het eerst gespot en was verbonden met de installatie van cryptocurrency-mining-malware op kwetsbare Docker-containers. Trend Micro heeft ook ontdekt dat de groep probeert AWS-inloggegevens te stelen om zich op meer servers te verspreiden, en Cado Security heeft bijgedragen aan de recentere ontdekking van TeamTNT gericht op Kubernetes-installaties.
Nu zegt Alien Labs dat de groep zich richt op Windows, AWS, Docker, Kubernetes en verschillende Linux-installaties, waaronder Alpine. Ondanks de korte periode is de laatste campagne verantwoordelijk voor “duizenden infecties wereldwijd”, zeggen de onderzoekers.
TeamTNT's portfolio van open source-tools omvat de poortscanner Masscan, libprocesshider-software voor het uitvoeren van de TeamTNT-bot vanuit het geheugen, 7z voor bestandsdecompressie, het b374k shell php-paneel voor systeemcontrole en Lazagne.
Lazagne is een open source-project waarin browsers, waaronder Chrome en Firefox, evenals Wi-Fi, OpenSSH en verschillende databaseprogramma's worden vermeld als ondersteund voor het ophalen van wachtwoorden en het opslaan van referenties.
Palo Alto Networks heeft ook ontdekt dat de groep Peirates gebruikt, een tool voor het testen van cloudpenetratie om zich op cloudgebaseerde apps te richten.
“Het gebruik van open-source tools zoals Lazagne stelt TeamTNT in staat om een tijdje onder de radar te blijven, waardoor het moeilijker wordt voor antivirusbedrijven om te detecteren”, zegt het bedrijf.
Hoewel het nu zelfbewapend is met de uitrusting die nodig is om een breed scala aan besturingssystemen aan te vallen, richt TeamTNT zich nog steeds op cryptocurrency-mining.
Windows-systemen zijn bijvoorbeeld het doelwit van de Xmrig-mijnwerker. Er wordt een service gemaakt en een batchbestand wordt toegevoegd aan de opstartmap om de persistentie te behouden – terwijl een root-payload-component wordt gebruikt op kwetsbare Kubernetes-systemen.
Alien Labs zegt dat een aantal malware-samples vanaf 30 augustus nog steeds lage detectiepercentages hebben.
Eerdere en gerelateerde berichtgeving
Initieel gebruik van Access Broker, gestolen accountverkoop piek in cyberaanvallen op cloudservices
Een cryptomining-botnet steelt nu Docker- en AWS-inloggegevens
Crypto-miningworm steelt AWS-inloggegevens
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 