0
0
Uma nova variante de malware de cryptojacking do grupo de ameaças TeamTnT foi descoberta pela equipe de inteligência de ameaças da Palo Alto Networks, a Unidade 42.
O malware, chamado Black-T, “fornece evidências de uma mudança nas táticas, técnicas e procedimentos (TTPs)” para operações conduzidas pelo TeamTNT, um grupo conhecido por direcionar arquivos de credenciais AWS em sistemas de nuvem comprometidos e minerados para o Monero.
Enquanto os pesquisadores da Unidade 42 observaram que os TTPs tradicionais do TeamTNT de segmentar APIs de daemon do Docker expostos e realizar operações de digitalização e criptojacking em sistemas vulneráveis de organizações afetadas são seguidos pelo Black-T, o código no malware mostra que ele tem recursos aprimorados.
Estes incluem o alvo e a parada de worms de cryptojacking, como o worm Crux, ntpd miner e um mineiro redis-bakup, que antes eram desconhecidos. Outra é o uso de operações de raspagem de senha de memória via mimipy e mimipenguins, com a identificação de senhas através de mimipenguins exfiltrados para um comando TeamTNT e nó de controle.
Além disso, os pesquisadores descobriram que a Black T é capaz de estender as operações de cryptojacking do TeamTNTs usando três diferentes ferramentas de varredura de rede para identificar APIs extras do Daemon Dom que estão presentes na rede local do sistema comprometido, bem como em qualquer número de redes acessíveis ao público. Embora dois deles, masscan e pnscan, tenham sido usados anteriormente pelo grupo, a introdução do zgrab é a primeira vez que uma ferramenta GoLang foi vista para ser incluída no arsenal da TeamTNT.
A Palo Alto Networks explicou: “O TeamTnT é um grupo de criptojacking focado em nuvem que tem como alvo as APIs daemon da Domon dasom. Após a identificação e exploração bem-sucedida da API do Daemon Docker, a TeamTnT abandonará a nova variante de cryptojacking Black-T.”
Falando à Infosecurity, Nathaniel Quist, pesquisador sênior de ameaças da Unidade 42, a Palo Alto Networks disse: “Como o TeamTnT atualmente funciona, eles são muito oportunistas e são indiscriminados em quem eles visam. Parece que eles estão mais interessados em explorar serviços para roubar o máximo de processos computacionais que puderem, em vez de atingir setores específicos.”
Ele acrescentou: “O COVID-19 empurrou muitas organizações para a infraestrutura em nuvem um pouco mais rápido, por isso é provável que veremos o malware focado na nuvem evoluir para usar técnicas mais sofisticadas como resultado, dada a maior oportunidade.”
FONTE: INFOSECURITY MAGAZINE