Операция Chimaera: Хакерска група TeamTNT удари хиляди жертви по целия свят

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Хакерската група TeamTNT подобри играта си с набор от инструменти, които й позволяват безразборно да се насочва към множество операционни системи.

В сряда изследователи на киберсигурността от AT&T Alien Labs публикува доклад за нова кампания, наречена Chimaera, която се смята, че е започнала на 25 юли 2021 г.-въз основа на сървърни регистрационни файлове за командване и управление (C2)-и тази, която разкри засилена зависимост от инструментите с отворен код от заплахата група.

TeamTNT е забелязан за първи път миналата година и е свързан с инсталирането на злонамерен софтуер за добив на криптовалута на уязвими контейнери на Docker. Trend Micro също така установи, че групата се опитва да открадне идентификационните данни на AWS, за да се разпространи на повече сървъри, а Cado Security допринесе за по -новото откритие на TeamTNT, насочено към инсталациите на Kubernetes.

Сега Alien Labs казва, че групата е насочена към Windows, AWS, Docker, Kubernetes и различни инсталации на Linux, включително Alpine. Въпреки краткия период от време, последната кампания е отговорна за „хиляди инфекции в световен мащаб“, казват изследователите.

Портфолиото на инструменти с отворен код на TeamTNT включва скенер за портове Masscan, софтуер libprocesshider за изпълнение на бота TeamTNT от паметта, 7z за декомпресия на файлове, b374k shell php панел за контрол на системата и Lazagne.

Lazagne е проект с отворен код, който изброява браузъри, включително Chrome и Firefox, както и Wi-Fi, OpenSSH и различни програми за бази данни, поддържани за извличане на пароли и съхранение на идентификационни данни.

Palo Alto Networks също така е открил, че групата използва Peirates, набор от инструменти за тестване на проникване в облак за насочване към облачни приложения.

„Използването на инструменти с отворен код като Lazagne позволява на TeamTNT да остане известно време под радара, което затруднява откриването на антивирусни компании“, казват от компанията.

Докато сега се въоръжава с комплекта, необходим за нанасяне на голямо разнообразие от операционни системи, TeamTNT все още се фокусира върху извличането на криптовалути.

Windows системите например са насочени към миньора Xmrig. Създава се услуга и пакетният файл се добавя към стартовата папка, за да се поддържа постоянството – докато основният компонент на полезния товар се използва в уязвимите системи Kubernetes.

Alien Labs казва, че към 30 август все още има проби от зловреден софтуер ниско откриване тарифи.


Имате бакшиш? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •