TeamTNT -hackergruppen har opgraderet sit spil med et sæt værktøjer, der gør det muligt uden forskel at målrette mod flere operativsystemer.
Onsdag offentliggjorde cybersikkerhedsforskere fra AT & T Alien Labs en rapport om en ny kampagne, kaldet Chimaera, der menes at være begyndt den 25. juli 2021-baseret på kommando-og-kontrol (C2) serverlogfiler-og en, der har afsløret en øget afhængighed af open source -værktøjer fra trusselsgruppen.
TeamTNT blev første gang opdaget sidste år og var forbundet med installationen af cryptocurrency mining -malware på sårbare Docker -containere. Trend Micro har også fundet ud af, at gruppen forsøger at stjæle AWS -legitimationsoplysninger til at sprede sig på flere servere, og Cado Security bidrog med den nyere opdagelse af TeamTNT -målretning mod Kubernetes -installationer.
Nu siger Alien Labs, at gruppen er målrettet mod Windows, AWS, Docker, Kubernetes og forskellige Linux -installationer, herunder Alpine. På trods af den korte tidsperiode er den seneste kampagne ansvarlig for “tusindvis af infektioner globalt”, siger forskerne.
TeamTNTs portefølje af open source -værktøjer inkluderer portscanneren Masscan, libprocesshider -software til udførelse af TeamTNT -bot fra hukommelsen, 7z til fildekomprimering, b374k shell php -panel til systemkontrol og Lazagne.
Lazagne er et open source-projekt, der viser browsere, herunder Chrome og Firefox, samt Wi-Fi, OpenSSH og forskellige databaseprogrammer som understøttet til adgang til kodeord og legitimationsopbevaring.
Palo Alto Networks har også opdaget, at gruppen bruger Peirates, et værktøjssæt til cloud-penetrationstest til at målrette skybaserede apps.
“Brugen af open source-værktøjer som Lazagne giver TeamTNT mulighed for at blive under radaren et stykke tid, hvilket gør det vanskeligere for antivirusvirksomheder at opdage,” siger virksomheden.
Selvom TeamTNT nu er selvbevæbnet med det kit, der er nødvendigt for at ramme en lang række forskellige operativsystemer, fokuserer det stadig på minedrift af kryptokurrency.
Windows -systemer er for eksempel målrettet med Xmrig -minearbejderen. En service oprettes, og en batchfil tilføjes til startmappen for at opretholde vedholdenhed – hvorimod en root -nyttelastkomponent bruges på sårbare Kubernetes -systemer.
Alien Labs siger, at en række malware -prøver pr. 30. august stadig har lave registreringshastigheder.
Tidligere og relateret dækning
Initial Access Broker-brug, stjålet kontosalgsstigning i cloud-service cyberangreb
Et kryptomining-botnet stjæler nu Docker- og AWS-legitimationsoplysninger
Crypto-mining orm stjæler AWS -legitimationsoplysninger
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 