AT&T Alien Labs 的研究人员发现了一项名为 Chimaera 的新活动,由TeamTNT 小组进行,针对全球组织。

专家收集的证据表明,该活动始于 2021 年 7 月 25 日,攻击者在攻击中使用了大量开源工具。威胁行为者利用开源工具来避免检测并确定攻击的归属。

TeamTNT 僵尸网络是一种加密挖掘恶意软件操作,自 2020 年 4 月以来一直活跃,目标是 Docker 安装。 安全公司 Trend Micro详细介绍了 TeamTNT 小组的活动 ,但在 2020 年 8 月,来自 Cado Security 的专家 发现 该僵尸网络也能够针对配置错误的 Kubernetes 安装。

2021 年 1 月,网络犯罪团伙  使用Hildegard 恶意软件发起了一项针对 Kubernetes 环境的新活动 。

Chimaera 活动针对多个操作系统(Windows、不同的 Linux 发行版,包括 Alpine(用于容器)、AWS、Docker 和 Kubernetes)和应用程序,威胁参与者使用了广泛的 shell/批处理脚本、新的开源工具、加密货币矿工、TeamTNT IRC 机器人等。

该活动非常阴险,截至 2021 年 8 月 30 日,攻击者使用的许多恶意软件样本的AV 软件检测率仍然为零。该运动在短短几个月内就造成了全球数千例感染。

该小组使用的部分工具列表包括:

  • Masscan 和端口扫描程序以搜索新的感染候选者
  • libprocesshider 用于直接从内存中执行他们的机器人
  • 7z 解压下载的文件
  • b374k shell 是一个 php web 管理员,可用于控制受感染的系统
  • Lazagne,一种适用于多个 Web 操作系统的开源工具,用于从众多应用程序中收集存储的凭据。

Palo Alto Networks 的研究人员分析了同一活动,报告称该组织还在使用云渗透测试工具集来针对名为 Peirates 的基于云的应用程序。

专家指出,即使该组织正在扩大其武器库以增加新功能,它仍然专注于加密货币挖掘。

“AT&T Alien Labs 发现了由威胁参与者 TeamTNT 分发的新恶意文件。正如研究人员在较早的活动中观察到的 TeamTNT,他们专注于窃取云系统凭据,使用受感染的系统进行加密货币挖掘,以及滥用受害者的机器搜索并传播到其他易受攻击的系统。” 阅读AT&T 发布的分析。“使用像 Lazagne 这样的开源工具可以让 TeamTNT 在一段时间内保持低调,让反病毒公司更难发现。”

TeamTNT 网络犯罪团伙 武器库
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接