Operatie Chimaera: Hackinggroep TeamTNT treft wereldwijd duizenden slachtoffers

De hackgroep TeamTNT heeft zijn spel verbeterd met een set tools waarmee het zich zonder onderscheid op meerdere besturingssystemen kan richten.

Woensdag publiceerden cybersecurity-onderzoekers van AT&T Alien Labs een rapport over een nieuwe campagne, genaamd Chimaera, waarvan wordt aangenomen dat deze op 25 juli 2021 is begonnen – op basis van command-and-control (C2) serverlogboeken – en een die heeft een toegenomen afhankelijkheid van open source-tools door de dreigingsgroep onthuld.

TeamTNT werd vorig jaar voor het eerst gespot en was verbonden met de installatie van cryptocurrency-mining-malware op kwetsbare Docker-containers. Trend Micro heeft ook ontdekt dat de groep probeert AWS-inloggegevens te stelen om zich op meer servers te verspreiden, en Cado Security heeft bijgedragen aan de recentere ontdekking van TeamTNT gericht op Kubernetes-installaties.

Nu zegt Alien Labs dat de groep zich richt op Windows, AWS, Docker, Kubernetes en verschillende Linux-installaties, waaronder Alpine. Ondanks de korte periode is de laatste campagne verantwoordelijk voor “duizenden infecties wereldwijd”, zeggen de onderzoekers.

TeamTNT’s portfolio van open source-tools omvat de poortscanner Masscan, libprocesshider-software voor het uitvoeren van de TeamTNT-bot vanuit het geheugen, 7z voor bestandsdecompressie, het b374k shell php-paneel voor systeemcontrole en Lazagne.

Lazagne is een open source-project waarin browsers worden vermeld, waaronder Chrome en Firefox, evenals Wi-Fi, OpenSSH en verschillende databaseprogramma’s die worden ondersteund voor het ophalen van wachtwoorden en het opslaan van referenties.

Palo Alto Networks heeft ook ontdekt dat de groep Peirates gebruikt, een tool voor het testen van cloudpenetratie om zich op cloudgebaseerde apps te richten.

“Door het gebruik van open-sourcetools zoals Lazagne kan TeamTNT een tijdje onder de radar blijven, waardoor het voor antivirusbedrijven moeilijker wordt om te detecteren”, zegt het bedrijf.

Hoewel het nu zelfbewapend is met de kit die nodig is om een ​​breed scala aan besturingssystemen aan te vallen, richt TeamTNT zich nog steeds op cryptocurrency-mining.

Windows-systemen zijn bijvoorbeeld het doelwit van de Xmrig-mijnwerker. Er wordt een service gemaakt en een batchbestand wordt toegevoegd aan de opstartmap om de persistentie te behouden – terwijl een root-payload-component wordt gebruikt op kwetsbare Kubernetes-systemen.

Alien Labs zegt dat vanaf 30 augustus een aantal malware-samples nog steeds lage detectiepercentages hebben.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini