Le malware Black-T du groupe TeamTNT fait son apparition

Les chercheurs ont découvert le dernier pari de logiciels malveillants de cryptojacking du groupe TeamTNT, appelé Black-T. Cette variante de malware s’appuie sur l’approche typique du groupe, avec quelques nouvelles fonctions sophistiquées.

TeamTNT est connu pour son ciblage des informations d’identification Amazon Web Services (AWS), pour pénétrer dans le cloud et l’utiliser pour exploiter la crypto-monnaie Monero. Mais selon les chercheurs de l’Unité 42 de Palo Alto Network, avec Black-T, le groupe a ajouté des capacités supplémentaires à ses tactiques, techniques et procédures (TTP). Celles-ci incluent l’ajout de scanners de réseau sophistiqués, le ciblage des outils de minage XMR concurrents sur le réseau et l’utilisation de récupérateurs de mots de passe.

Ce que TeamTNT prévoit de faire avec les mots de passe enregistrés et les fonctionnalités supplémentaires n’est toujours pas clair, mais le développement indique que le groupe ne prévoit pas de ralentir de si tôt.

malware

En Août, TeamTNT a été identifié par les chercheurs comme le premier groupe de cryptojacking à cibler spécifiquement AWS. Avec des TTP de plus en plus sophistiqués, le gang de cybercriminels semble prendre de l’ampleur. Le mois dernier, il a été découvert que TeamTNT exploitait un outil de surveillance cloud open-source commun appelé Weave Scope, pour infiltrer le cloud et exécuter des commandes sans violer le serveur.

Black-T représente un bond en avant notable dans la sophistication de l’opération, ont déclaré les chercheurs.

Une fois déployé, le premier ordre du jour pour Black-T est de désactiver tout autre malware en concurrence pour les ressources de traitement, y compris Kinsing, Kswapd0, ntpd miner, redis-backup miner, auditd miner, Migration miner, le ver Crux et le ver Crux miner. Ironiquement, le fait que TeamTNT ait identifié ces concurrents dans son programme malveillant pousse les professionnels de la sécurité à être à l’affût des menaces potentielles de ces groupes, a déclaré l’Unité 42.

Ce type de cyberjacking n’est pas nouveau, mais il semble s’accélérer.

«La bataille pour les ressources cloud se poursuivra dans le futur», a déclaré Nathaniel Quist, chercheur principal sur les menaces pour l’Unité 42. «Dans le passé, des groupes d’attaquants comme Rocke et Pacha se battaient pour des ressources. TeamTNT se bat aujourd’hui contre le malware Kinsing et le ver Crux. Je pense que cette bataille pour les ressources augmentera et que les groupes d’attaquants chercheront d’autres opportunités pour utiliser les ressources cloud. Nous pouvons le voir maintenant avec TeamTNT collectant les mots de passe et les informations d’identification AWS dans le but de se répandre et de maintenir une présence dans le cloud. »

black-t

Après avoir éliminé la concurrence, Black-T installe ‘masscan’, ‘libpcap’ pour écouter diverses ressources sur le réseau, notamment pnscan, zgrab, Docker et jq (ce dernier est un processeur JSON flexible en ligne de commande, selon l’unité 42).

«TeamTNT investit plus de ressources dans les opérations de scan, probablement dans le but d’identifier et de compromettre davantage de systèmes cloud», a ajouté Quist. «Zmap est une solution d’analyse open-source connue et avec la création de zgrab, un outil GoLang écrit pour zmap, il tente de capitaliser sur les avantages supplémentaires du langage de programmation Go, tels que la vitesse et les performances. Il est probable que les acteurs de TeamTNT tentent d’affiner leurs capacités d’analyse pour les rendre plus rapides, plus précis et moins gourmands en ressources. »

Ensuite, Black-T récupère divers téléchargements: Beta pour créer un nouveau répertoire, les outils de récupération de mots de passe mimipy et mimipenquin, et le logiciel de minage XMR appelé bd.

«L’inclusion d’outils de récupération de mots de passe dans la mémoire devrait être considérée comme une évolution des tactiques», a déclaré Quist. «TeamTNT a déjà intégré la collecte et l’exfiltration des informations d’identification AWS à partir de systèmes cloud compromis, ce qui offre des capacités de post-exploitation. En ajoutant des capacités de récupération des mots de passe de la mémoire, les acteurs de TeamTNT augmentent leurs chances de gagner en persistance dans les environnements cloud. »

Black-T est différent des autres vers de TeamTNT

L’utilisation de vers comme masscan ou pnscan par TeamTNT n’est pas nouvelle, mais l’unité 42 a remarqué que Black-T ajoutait un nouveau port de numérisation. Les chercheurs se demandent si cela indique que le groupe a également trouvé comment cibler les appareils Android.

Alors que le travail à distance et les économies de coûts continuent de conduire l’informatique vers le cloud, davantage de groupes comme TeamTNT sont sûrs d’être prêts à en profiter, selon Quist. Les administrateurs doivent prendre des mesures pour s’assurer que les API Docker et daemon, ainsi que tous les autres services réseau sensibles, ne sont pas exposés, afin que le cloud puisse être protégé de la prochaine évolution des cryptojackers cloud, a-t-il ajouté.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x