TeamTNT -hackergruppen har uppgraderat sitt spel med en uppsättning verktyg som gör det möjligt att rikta in sig på flera operativsystem.
På onsdagen publicerade cybersäkerhetsforskare från AT & T Alien Labs en rapport om en ny kampanj, kallad Chimaera, som antas ha börjat den 25 juli 2021-baserat på kommando-och-kontroll (C2) serverloggar-och en som har avslöjat ett ökat beroende av verktyg för öppen källkod från hotgruppen.
TeamTNT upptäcktes första gången förra året och kopplades till installationen av kryptovaluta för gruvdrift på sårbara Docker -behållare. Trend Micro har också funnit att gruppen försöker stjäla AWS -referenser för att sprida sig på fler servrar, och Cado Security bidrog med den nyare upptäckten av TeamTNT -inriktning på Kubernetes -installationer.
Nu säger Alien Labs att gruppen riktar sig till Windows, AWS, Docker, Kubernetes och olika Linux -installationer, inklusive Alpine. Trots den korta tidsperioden är den senaste kampanjen ansvarig för “tusentals infektioner globalt”, säger forskarna.
TeamTNTs portfölj av verktyg för öppen källkod inkluderar portskannern Masscan, libprocesshider -programvara för att köra TeamTNT -botten från minnet, 7z för fildekomprimering, b374k -shell -php -panelen för systemkontroll och Lazagne.
Lazagne är ett projekt med öppen källkod som listar webbläsare, inklusive Chrome och Firefox, samt Wi-Fi, OpenSSH och olika databasprogram som stöds för att hämta lösenord och lagringsinformation.
Palo Alto Networks har också upptäckt att gruppen använder Peirates, en verktygsuppsättning för molnträngningstest för att rikta molnbaserade appar.
“Användningen av öppen källkod som Lazagne gör att TeamTNT kan hålla sig under radarn ett tag, vilket gör det svårare för antivirusföretag att upptäcka”, säger företaget.
TeamTNT är fortfarande självbeväpnad med det kit som krävs för att hitta en mängd olika operativsystem, men fokuserar fortfarande på kryptovaluta-gruvdrift.
Windows -system är till exempel riktade mot Xmrig -gruvarbetaren. En tjänst skapas och en batchfil läggs till i startmappen för att bibehålla uthållighet – medan en root -nyttolastkomponent används på sårbara Kubernetes -system.
Alien Labs säger att från och med den 30 augusti har ett antal skadliga program fortfarande låga upptäcktshastigheter.
Tidigare och relaterad täckning
Initial Access Broker-användning, stulen kontosäljningstakt i molntjänstens cyberattacker
Ett krypto-gruvbotnät stjäl nu Docker- och AWS-referenser
Crypto-mining mask stjäl AWS -referenser
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 