TeamTNT -hackergruppen har forbedret spillet sitt med et sett med verktøy som gjør det mulig å målrette flere operativsystemer uten forskjell.
Onsdag publiserte cybersikkerhetsforskere fra AT & T Alien Labs en rapport om en ny kampanje, kalt Chimaera, som antas å ha begynt 25. juli 2021-basert på kommando-og-kontroll (C2) serverlogger-og en som har avslørt en økt avhengighet av open source -verktøy fra trusselgruppen.
TeamTNT ble først oppdaget i fjor og ble koblet til installasjonen av kryptovaluta for gruvedrift på kryptokurver på sårbare Docker -containere. Trend Micro har også funnet ut at gruppen prøver å stjele AWS -legitimasjon for å spre seg på flere servere, og Cado Security bidro med den nyere oppdagelsen av TeamTNT som målretter Kubernetes -installasjoner.
Nå sier Alien Labs at gruppen er rettet mot Windows, AWS, Docker, Kubernetes og forskjellige Linux -installasjoner, inkludert Alpine. Til tross for den korte tidsperioden, er den siste kampanjen ansvarlig for “tusenvis av infeksjoner globalt”, sier forskerne.
TeamTNTs portefølje av åpen kildekodeverktøy inkluderer portskanneren Masscan, libprocesshider -programvare for å utføre TeamTNT -boten fra minnet, 7z for fildekomprimering, b374k shell php -panel for systemkontroll og Lazagne.
Lazagne er et åpen kildekode-prosjekt som viser nettlesere, inkludert Chrome og Firefox, samt Wi-Fi, OpenSSH og forskjellige databaseprogrammer som støttes for passordhenting og legitimasjonslagring.
Palo Alto Networks har også oppdaget at gruppen bruker Peirates, et verktøysett for skypenetrasjonstesting for å målrette mot skybaserte apper.
“Bruken av åpen kildekode-verktøy som Lazagne gjør at TeamTNT kan holde seg under radaren en stund, noe som gjør det vanskeligere for antivirusbedrifter å oppdage,” sier selskapet.
Selv om TeamTNT nå er selvbevæpnet med settet som er nødvendig for å finne en rekke operativsystemer, fokuserer TeamTNT fortsatt på gruvedrift av kryptovaluta.
Windows -systemer er for eksempel målrettet mot Xmrig -gruvearbeideren. En tjeneste opprettes og en batchfil legges til i oppstartsmappen for å opprettholde utholdenhet – mens en rot nyttelastkomponent brukes på sårbare Kubernetes -systemer.
Alien Labs sier at fra og med 30. august har en rekke malware -prøver fortsatt lave deteksjonshastigheter.
Tidligere og beslektet dekning
Første gangs bruk av megler, stjålet kontosalgsøkning i nettjenester for nettjenester
Et krypto-gruvedrift-botnet stjeler nå Docker- og AWS-legitimasjon
Crypto-mining orm stjeler AWS -legitimasjon
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 