TeamTNT cache ses malwares avec un outil open source

Le groupe de cybercriminels TeamTNT a ajouté un nouvel outil de détection-évasion à son arsenal, aidant son malware de crypto-minage à échapper aux défenses mises en place.

TeamTNT est connu pour ses attaques basées sur le cloud, notamment pour cibler les informations d’identification Amazon Web Services (AWS) afin de pénétrer dans le cloud et de l’utiliser pour exploiter la crypto-monnaie Monero. Ils ont également précédemment ciblé les instances cloud Docker et Kubernetes.

Le nouvel outil de détection-évasion, libprocesshider, est copié à partir de référentiels open source. L’outil open source, depuis 2014, a été découvert sur Github et est décrit comme ayant des capacités pour «cacher un processus sous Linux à l’aide du préchargeur ld».

«Alors que la nouvelle fonctionnalité de libprocesshider consiste à échapper à la détection et à d’autres fonctions de base, l’outil agit comme un indicateur à prendre en compte lors de la recherche d’activités malveillantes au niveau de l’hôte», ont déclaré des chercheurs de Alien Labs.

malware

Le nouvel outil est livré dans un script encodé en base64, caché dans le binaire du crypto-mineur TeamTNT, ou via son bot Internet Relay Chat (IRC), appelé TNTbotinger, qui est capable d’attaques par déni de service distribué (DDoS).

«J’ai trouvé plusieurs fichiers TeamTNT sur VirusTotal qui utilise cet outil, et il y a de fortes chances qu’il ait été téléchargé par des utilisateurs infectés et non par des personnes liées à TeamTNT, donc je crois que… il est utilisé dans la nature», a déclaré Ofer Caspi, un chercheur en sécurité chez Alien Labs.

Dans la chaîne d’attaque, une fois le script encodé en base64 téléchargé, il exécute plusieurs tâches. Celles-ci incluent la modification de la configuration DNS du réseau, la mise en place de la persistance (via systemd), le téléchargement de la dernière configuration du bot IRC, la suppression des preuves d’activités et la suppression et l’activation de libprocesshider. L’outil est déposé en tant que fichier Tape Archive (également connu sous le nom de format Tar, utilisé pour la distribution de logiciels open-source) sur le disque, puis décompressé par le script et écrit dans ‘/usr/local/lib/systemhealt.so’.

libprocesshider vise alors à cacher le processus malveillant aux programmes d’informations de processus tels que «ps» et «lsof».

Ce sont tous deux des outils de visualisation de processus, qui utilisent le fichier ‘/usr/bin/sbin. Le programme «ps» (abréviation de «état du processus(process state)») affiche les processus en cours d’exécution dans de nombreux systèmes d’exploitation de type Unix; pendant ce temps, «lsof» est une commande (abréviation de «list open files»), également utilisée dans les systèmes d’exploitation de type Unix pour, comme son nom l’indique, rapporter une liste de tous les fichiers ouverts et des processus qui les ont ouverts. Cacher le processus à ces deux outils de visualisation de processus permettrait à l’attaquant de masquer son activité malveillante.

libprocesshider utilise un processus appelé préchargement afin de masquer son activité de «ps» et «lsof». Ce processus permet au système de charger une bibliothèque partagée personnalisée avant que d’autres bibliothèques système ne soient chargées.

«Si la bibliothèque partagée personnalisée exporte une fonction avec la même signature que celle située dans les bibliothèques système, la version personnalisée la remplacera», ont déclaré les chercheurs.

La bibliothèque partagée personnalisée téléchargée permet ensuite à l’outil d’implémenter la fonction readdir(). Cette fonction est utilisée par des processus comme ‘ps’ pour lire le répertoire /proc afin de trouver les processus en cours d’exécution. Il utilise cette fonction pour modifier la valeur de retour, au cas où «ps» trouverait le processus malveillant, afin de le masquer.

TeamTNT

TeamTNT continue de créer de nouvelles fonctionnalités

De temps en temps, TeamTNT a été observé en train de déployer diverses mises à jour de son malware de crypto-minage, y compris un nouveau chargeur de mémoire découvert il y a quelques semaines à peine, basé sur Ezuri et écrit en GOlang.

En Août, le ver de crypto-minage de TeamTNT a été découvert en train de se propager dans le cloud AWS et de collecter des informations d’identification. Puis, après une pause, le groupe TeamTNT est revenu en septembre pour attaquer des instances de cloud Docker et Kubernetes en abusant d’un outil de surveillance cloud légitime appelé Weave Scope.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires