Il gruppo di hacker TeamTNT ha alzato il tiro con una serie di strumenti che gli consentono di prendere di mira indiscriminatamente più sistemi operativi.
Mercoledì, i ricercatori di sicurezza informatica di AT&T Alien Labs hanno pubblicato un rapporto su una nuova campagna, soprannominata Chimaera, che si pensa sia iniziata il 25 luglio 2021, basata sui registri del server di comando e controllo (C2), e uno che ha rivelato una maggiore dipendenza dagli strumenti open source da parte del gruppo di minacce.
TeamTNT è stato individuato per la prima volta l'anno scorso ed è stato collegato all'installazione di malware per il mining di criptovalute su contenitori Docker vulnerabili. Trend Micro ha anche scoperto che il gruppo tenta di rubare le credenziali AWS per propagarsi su più server e Cado Security ha contribuito alla scoperta più recente di TeamTNT che prende di mira le installazioni Kubernetes.
Ora, Alien Labs afferma che il gruppo sta prendendo di mira Windows, AWS, Docker, Kubernetes e varie installazioni Linux, inclusa Alpine. Nonostante il breve periodo di tempo, l'ultima campagna è responsabile di “migliaia di infezioni a livello globale”, affermano i ricercatori.
Il portafoglio di strumenti open source di TeamTNT include il port scanner Masscan, il software libprocesshider per l'esecuzione del bot TeamTNT dalla memoria, 7z per la decompressione dei file, il pannello php della shell b374k per il controllo del sistema e Lazagne.
Lazagne è un progetto open source che elenca i browser inclusi Chrome e Firefox, nonché Wi-Fi, OpenSSH e vari programmi di database supportati per il recupero della password e l'archiviazione delle credenziali.
Palo Alto Networks ha anche scoperto che il gruppo utilizza Peirates, un set di strumenti di test di penetrazione del cloud per indirizzare le app basate su cloud.
“L'uso di strumenti open source come Lazagne consente a TeamTNT di rimanere al di sotto del radar per un po', rendendo più difficile il rilevamento da parte delle aziende di antivirus”, afferma la società.
Anche se ora è dotato del kit necessario per colpire un'ampia varietà di sistemi operativi, TeamTNT si concentra ancora sul mining di criptovalute.
I sistemi Windows, ad esempio, sono presi di mira dal miner Xmrig. Viene creato un servizio e un file batch viene aggiunto alla cartella di avvio per mantenere la persistenza, mentre sui sistemi Kubernetes vulnerabili viene utilizzato un componente di payload root.
Alien Labs afferma che al 30 agosto un certo numero di campioni di malware ha ancora bassi tassi di rilevamento.
Copertura precedente e correlata
Utilizzo iniziale di un broker di accesso, aumento delle vendite di account rubati negli attacchi informatici ai servizi cloud
Una botnet di mining di criptovalute sta ora rubando le credenziali di Docker e AWS
Worm di mining di criptovalute ruba le credenziali AWS
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499, o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 