0
0
A variante de malware de cryptojacking baseia-se na abordagem típica do grupo TeamTNT, com alguns novos — e sofisticados — extras.
Pesquisadores descobriram o mais recente jogo de malware de cryptojacking da TeamTNT, chamado Black-T. A variante se baseia na abordagem típica do grupo, com alguns novos — e sofisticados — extras.
A TeamTNT é conhecida por seu direcionamento de credenciais da Amazon Web Services (AWS), para invadir a nuvem e usá-la para minerar para a criptomoeda Monero. Mas de acordo com pesquisadores da Unidade 42 da Palo Alto Network, com o Black-T,o grupo adicionou recursos adicionais às suas táticas, técnicas e procedimentos (TTPs). Estes incluem a adição de scanners de rede sofisticados; o direcionamento de ferramentas concorrentes de mineração XMR na rede; e o uso de raspadores de senha.
O que o TeamTNT planeja fazer com as senhas salvas e recursos adicionais ainda não está claro, mas o desenvolvimento sinaliza que o grupo não planeja desacelerar tão cedo.
Em agosto, o TeamTNT foi identificado por pesquisadores como o primeiro grupo de criptojacking a atingir especificamente a AWS. Com TTPs cada vez mais sofisticados, a gangue de cibercriminosos parece estar ganhando força constante. No mês passado, o TeamTNT foi descoberto que estava aproveitando uma ferramenta comum de monitoramento em nuvem de código aberto chamada Weave Scope, para se infiltrar na nuvem e executar comandos sem invadir o servidor.
O Black-T representa um salto notável na sofisticação da operação, disseram os pesquisadores.
Uma vez implantado, a primeira ordem de negócios para black-t é desativar qualquer outro malware competindo para poder de processamento, incluindo Kinsing, Kswapd0, ntpd miner, redis-backup miner, auditado miner, Migration miner, o worm Crux e o worm miner Crux. Ironicamente, o fato de a TeamTNT ter identificado esses concorrentes em seu malware dá aos profissionais de segurança um aviso crítico para estarem atentos a possíveis ameaças desses grupos, disse a Unidade 42.
Este tipo de guerra cibernética não é nova, mas parece estar acelerando.
“A batalha por recursos em nuvem continuará bem no futuro”, disse Nathaniel Quist, pesquisador sênior de ameaças da Unidade 42. “No passado, grupos de atacantes como Rocke e Pacha lutavam por recursos. TeamTNT está lutando com malware Kinsing e worm Crux hoje. Acredito que essa batalha por recursos aumentará e os grupos de atacantes procurarão outras oportunidades para usar recursos em nuvem. Podemos ver isso agora com a TeamTNT coletando senhas e credenciais AWS na tentativa de expandir e manter uma presença na nuvem.”
Depois de eliminar a concorrência, a Black-T instala o masscan, libpcap para ouvir vários recursos na rede, incluindo pnscan, zgrab, Docker e jq (este último é um processador JSON de linha de comando flexível, de acordo com a Unidade 42).
“A TeamTNT está investindo mais recursos em operações de digitalização, provavelmente com a intenção de identificar e comprometer mais sistemas de nuvem”, acrescentou Quist. “O Zmap é uma solução de digitalização de código aberto conhecida e, com a criação do zgrab, uma ferramenta GoLang escrita para zmap, está tentando capitalizar os benefícios adicionais da linguagem de programação Go, como aumentos de velocidade e desempenho. É provável que os atores da TeamTNT estejam tentando refinar seus recursos de digitalização para torná-los mais rápidos, mais precisos e menos intensivos em recursos.”
Em seguida, Black-T busca vários downloads: Beta para criar um novo diretório; as ferramentas de raspagem de senha mimipy e mimipenquin; e o software de mineração XMR chamado bd.
“A inclusão de ferramentas de raspagem de senhas de memória deve ser considerada uma evolução das táticas”, disse Quist. “A TeamTNT já integrou a coleta e exfiltração de credenciais AWS de sistemas de nuvem comprometidos, o que fornece recursos pós-exploração. Adicionando recursos de raspagem de senha de memória, os atores do TeamTNT estão aumentando suas chances de obter persistência em ambientes de nuvem.”
O uso de worms como masscan ou pnscan pelo TeamTNT não é novo, mas a Unidade 42 notou que o Black-T adiciona uma nova porta de varredura. Os pesquisadores se perguntam se isso sinaliza que o grupo descobriu como direcionar dispositivos Android também.
À medida que o trabalho remoto e a redução de custos continuam a levar a computação para a nuvem, mais grupos como o TeamTNT certamente surgirão prontos para tirar vantagem, de acordo com Quist. Os administradores devem tomar medidas para garantir que as APIs docker e daemon, bem como quaisquer outros serviços de rede sensíveis, não sejam expostas, para que a nuvem possa ser protegida da próxima evolução dos criptojackers em nuvem, acrescentou.
FONTE: THREATPOST