黑客组织TeamTNT疑似使用诱饵矿工窃取数据

被称为TeamTNT的加密劫持组织被怀疑是一种以前未被发现的恶意软件的幕后黑手,该恶意软件用于在受感染的系统上挖掘Monero加密货币。
根据Cado Security的说法,该样本是在Sysdig详细描述了一种名为SCARLETEEL的复杂攻击后发现的,该攻击旨在容器化环境中最终窃取专有数据和软件。
具体来说,攻击链的早期阶段涉及使用加密货币矿工,云安全公司怀疑它被部署为诱饵以规避数据泄露检测。
Cado Security的一项新分析显示,该工件-上个月底上传到VirusTotal-“与之前的TeamTNT有效载荷具有一些句法和语义相似性,并且包括一个以前归因于它们的钱包ID” 。
至少从 2019 年开始活跃的TeamTNT已被记录为反复攻击云和容器环境以部署加密货币矿工。众所周知,它还可以释放能够窃取AWS凭证的加密挖矿蠕虫。
虽然威胁行为者自愿在2021年11月关闭其运营,但云安全公司Aqua于2022年9月披露了该组织针对配置错误的Docker和 Redis实例发起的一系列新攻击。
也就是说,也有迹象表明,WatchDog等竞争对手可能正在模仿TeamTNT的战术、技术和程序 (TTP)。
另一个值得注意的活动集群是Kiss-a-dog,它也依赖于以前与TeamTNT关联的工具和命令与控制(C2)基础设施来挖掘加密货币。

没有具体证据表明新恶意软件与SCARLETEEL攻击有关。但Cado Security指出,该样本大约在后者被报道的同时浮出水面,这增加了这可能是安装的“诱饵”矿工的可能性。
就其本身而言,shell脚本采取准备步骤来重新配置资源硬限制、阻止命令历史记录、接受所有入口或出口流量、枚举硬件资源,甚至在开始活动之前清除先前的IOC。
与其他与 TeamTNT 相关的攻击一样,恶意负载还利用一种称为动态链接库劫持的技术,通过一个名为libprocesshider的共享对象可执行文件使用LD_PRELOAD环境变量来隐藏矿工进程。
持久性是通过三种不同的方式实现的,其中一种是修改.profile 文件,以确保矿工在系统重启后继续运行。
调查结果发布之际,另一个名为8220 Gang的加密矿工组织被发现使用名为ScrubCrypt的加密器进行非法加密劫持操作。
更重要的是,已经发现未知的威胁行为者以具有暴露API的易受攻击的Kubernetes容器编排器基础设施为目标来挖掘Dero 加密货币,这标志着从Monero的转变。
上个月,网络安全公司Morphisec还揭示了一项规避恶意软件活动,该活动利用Microsoft Exchange服务器中的ProxyShell漏洞来投放代号为ProxyShellMiner的加密矿工病毒。
“在组织的网络上挖掘加密货币可能导致系统性能下降、功耗增加、设备过热,并可能停止服务,”研究人员说。“它允许威胁行为者进入更邪恶的目的。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5029.html