Киберпреступная группа TeamTNT недавно обновила своего червя для майнинга криптовалют, добавив возможности кражи паролей и дополнительный сетевой сканер, чтобы упростить распространение на другие уязвимые устройства.
Хотя группа известна в основном тем, что активно нацеливает экземпляры Docker на использование скомпрометированных систем для несанкционированного майнинга Monero (XMR), теперь группа изменила свою тактику, обновив свое вредоносное ПО для криптоджекинга, чтобы также собирать учетные данные пользователей.
Обновления для кражи паролей и сканирования
Как выяснили исследователи Unit 42, TeamTNT усердно работает над расширением возможностей своего вредоносного ПО, на этот раз добавляя возможности очистки паролей памяти с помощью mimipy (с поддержкой Windows / Linux / macOS) и mimipenguin (поддержка Linux), двух эквивалентов Mimikatz с открытым исходным кодом, нацеленных на * NIX. рабочие столы.Black-T, как червь был назван Unit 42, собирает любые пароли в виде открытого текста, которые он находит в памяти скомпрометированных систем, и доставляет их на серверы управления и контроля TeamTNT.
«Это первый раз, когда участники TeamTnT были свидетелями включения этого типа постэксплуатационных операций в свои ТТП», - пояснил в опубликованном сегодня отчете старший научный сотрудник подразделения 42 Натаниэль Квист .
«Подобно украденным учетным данным AWS, также захваченным участниками TeamTnT, эти учетные данные, вероятно, будут использоваться для дополнительных операций, нацеленных на организацию, управляющую скомпрометированным Docker API».
Подбор паролей и кража ( Блок 42 )
Группа также добавила сетевой сканер zgrab GoLang к червю крипто-майнинга Black-T, третьему сканеру поверх pnscan и masscan.
Сканер masscan, используемый Black-T, также был обновлен для нацеливания на порт TCP 5555, что может намекать на то, что TeamTnT потенциально нацелен на устройства Android, хотя доказательства этого в настоящее время довольно неубедительны, согласно Unit 42.
Разработка атаки TeamTNT
Ботнет группы для крипто-майнинга был впервые замечен в мае командой MalwareHunterTeam, а затем исследован Trend Micro, который обнаружил, что его установка Docker нацелена на сродство.В августе исследователи Cado Security первыми заметили новую функцию кражи учетных данных AWS червя TeamTNT , что сделало его первым вредоносным ПО для криптоджекинга с такой возможностью.
В прошлом месяце компания Intezer наблюдала за TeamTNT в атаках, в ходе которых группа развернула законный инструмент с открытым исходным кодом Weave Scope для сопоставления запущенных процессов, контейнеров и хостов на скомпрометированных серверах, а также для получения контроля над установленными приложениями.
Код, используемый для кражи учетных данных AWS ( Cado Security )
Как выяснили исследователи, это позволило им получить полный контроль над облачной инфраструктурой жертвы, поскольку Weave Scope интегрируется с Docker, Kubernetes, распределенной облачной операционной системой (DC / OS) и AWS Elastic Compute Cloud (ECS).
Комбинируя все эти тактики, техники и процедуры (TTP), TeamTNT использует свой ботнет из скомпрометированных серверов для сканирования облачных сред с установками Kubernetes и Docker с открытыми API-интерфейсами с помощью сетевых сканеров masscan, pnscan и / или zgrab.
После того, как вредоносная программа успешно заражает неправильно настроенный сервер, она развертывается в новых контейнерах и устанавливает вредоносный двоичный файл полезной нагрузки, который запускает майнинг криптовалюты Monero (XMR).
Последние варианты червя-криптоджекинга Black-T будут сканировать зараженные системы на наличие незашифрованных данных, используемых AWS CLI для хранения учетных данных и информации о конфигурации для кражи учетных данных AWS, и, как обнаружил Unit 42, также очищают память на предмет паролей в виде открытого текста с использованием эквивалентов * NIX Mimikatz .
Перевод с английского - Google
