黑客组织TeamTNT疑似使用诱饵矿工窃取数据

被称为TeamTNT的加密劫持组织被怀疑是一种以前未被发现的恶意软件的幕后黑手，该恶意软件用于在受感染的系统上挖掘Monero加密货币。

根据Cado Security的说法，该样本是在Sysdig详细描述了一种名为SCARLETEEL的复杂攻击后发现的，该攻击旨在容器化环境中最终窃取专有数据和软件。

具体来说，攻击链的早期阶段涉及使用加密货币矿工，云安全公司怀疑它被部署为诱饵以规避数据泄露检测。

Cado Security的一项新分析显示，该工件-上个月底上传到VirusTotal-“与之前的TeamTNT有效载荷具有一些句法和语义相似性，并且包括一个以前归因于它们的钱包ID” 。

至少从 2019 年开始活跃的TeamTNT已被记录为反复攻击云和容器环境以部署加密货币矿工。众所周知，它还可以释放能够窃取AWS凭证的加密挖矿蠕虫。

虽然威胁行为者自愿在2021年11月关闭其运营，但云安全公司Aqua于2022年9月披露了该组织针对配置错误的Docker和 Redis实例发起的一系列新攻击。

也就是说，也有迹象表明，WatchDog等竞争对手可能正在模仿TeamTNT的战术、技术和程序 (TTP)。

另一个值得注意的活动集群是Kiss-a-dog，它也依赖于以前与TeamTNT关联的工具和命令与控制(C2)基础设施来挖掘加密货币。

没有具体证据表明新恶意软件与SCARLETEEL攻击有关。但Cado Security指出，该样本大约在后者被报道的同时浮出水面，这增加了这可能是安装的“诱饵”矿工的可能性。

就其本身而言，shell脚本采取准备步骤来重新配置资源硬限制、阻止命令历史记录、接受所有入口或出口流量、枚举硬件资源，甚至在开始活动之前清除先前的IOC。

与其他与 TeamTNT 相关的攻击一样，恶意负载还利用一种称为动态链接库劫持的技术，通过一个名为libprocesshider的共享对象可执行文件使用LD_PRELOAD环境变量来隐藏矿工进程。

持久性是通过三种不同的方式实现的，其中一种是修改.profile 文件，以确保矿工在系统重启后继续运行。

调查结果发布之际，另一个名为8220 Gang的加密矿工组织被发现使用名为ScrubCrypt的加密器进行非法加密劫持操作。

更重要的是，已经发现未知的威胁行为者以具有暴露API的易受攻击的Kubernetes容器编排器基础设施为目标来挖掘Dero 加密货币，这标志着从Monero的转变。

上个月，网络安全公司Morphisec还揭示了一项规避恶意软件活动，该活动利用Microsoft Exchange服务器中的ProxyShell漏洞来投放代号为ProxyShellMiner的加密矿工病毒。

“在组织的网络上挖掘加密货币可能导致系统性能下降、功耗增加、设备过热，并可能停止服务，”研究人员说。“它允许威胁行为者进入更邪恶的目的。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5029.html