Uma nova variante de malware de criptojacking do grupo hacker TeamTnT foi descoberta pela equipe de pesquisadores de ameaças da Unit 42, da Palo Alto Networks. Criptojacking é uma ameaça que se oculta em um computador ou dispositivo móvel e usa os recursos da máquina para “minerar” criptomoeda, ou seja, usa o equipamento para gerar moeda virtual.
O malware, denominado Black-T, evidencia uma mudança nas táticas, técnicas e procedimentos (TTPs) usados pelo grupo TeamTNT, conhecido por ter como alvo arquivos de credenciais de clientes do serviço de nuvem da Amazon Web Services (AWS) para minerar a criptomoeda Monero.
Os pesquisadores da Unit 42 observam que a variante se baseia na abordagem típica do grupo, com alguns novos e sofisticados recursos. O TeamTNT adicionou às suas táticas, técnicas e procedimentos (TTPs), que incluem o direcionamento de ferramentas de mineração XMR na rede, como o worm Crux, o minerador ntpd e um minerador redis-bakup, que antes eram desconhecidos.
Outro recurso é o uso de raspadores de senha de memória via mimipy e mimipenguins, com a identificação de senhas por meio de mimipenguins exfiltrados para um comando e nó de controle TeamTNT.
Veja isso
Minerar criptomoedas sem pedir licença? É só investir US$ 0,50
Brecha no Windows é usada para minerar criptomoeda
Além disso, os pesquisadores descobriram que o Black-T é capaz de estender as operações de criptojacking do TeamTNTs usando três ferramentas de scanners de rede sofisticados para identificar APIs daemon Docker extras que estão presentes na rede local do sistema comprometido, bem como em qualquer número de redes acessíveis publicamente. Embora dois deles (masscan e pnscan) tenham sido usados anteriormente pelo grupo, a introdução do zgrab é a primeira vez que uma ferramenta GoLang foi incluída no arsenal do TeamTNT.
Em agosto, o TeamTNT foi identificado por pesquisadores de segurança como o primeiro grupo de criptojacking a se infltrar na AWS. No mês passado, foi descoberto que o TeamTNT estava explorando uma ferramenta de monitoramento de nuvem de código aberto chamada Weave Scope para se infiltrar na nuvem e executar comandos sem invadir o servidor.
“A inclusão de ferramentas de raspagem de senhas de memória deve ser considerada uma evolução das táticas”, disse Nathaniel Quist, pesquisador sênior de ameaças da Unidade 42 ao site ThreatPost. “A TeamTNT já integrou a coleta e exfiltração de credenciais AWS de sistemas de nuvem comprometidos, o que fornece recursos pós-exploração. Adicionando recursos de raspagem de senha de memória, o TeamTNT está aumentando as chances de obter persistência em ambientes de nuvem.”