Report AT&T Alien Labs and APT TeamTNT

AT&T Alien Labs представили отчет о последней широкомасштабной кампании APT TeamTNT под названием Chimaera.

Chimaera, как и предыдущие кампании TeamTNT ориентирована на кражу учетных данных облачных систем, использование зараженных систем для добычи криптовалюты и злоупотребления машинами жертв для поиска и распространения на другие уязвимые системы. В фокусе группы различные операционные системы: Windows, Linux, включая Alpine, AWS, Docker и Kubernetes.

Кампания активна с 25 июля 2021 года и до настоящего времени многие образцы задействованного вредоносного ПО имеют низкие показатели обнаружения антивирусными средствами. Все благодаря тому, что TeamTNT использует новые инструменты с открытым исходным кодом. Например, в январе он использовал инструмент обнаружения-уклонения libprocesshider, чтобы скрыть свое вредоносное ПО под Linux с помощью предзагрузчика.

adPlace

По данным аналитики Trend Micro, TeamTNT является одной из самых многочисленных и устойчивых APT за последнее время, активна с 2011 года, а с прошлого года активизировалась, внедрив новые TTP, включая вредоносное ПО для криптоджекинга Black-T, сложные сетевые сканеры, нацеливание на инструменты майнинга XMR конкурентов в сети и использование скребков паролей. Незадолго до конца 2020 года группа запустила еще одну кампанию, развернув TNTbotinger: бот IRC (Internet Relay Chat) с возможностями распределенного отказа в обслуживании (DDoS).

В текущей кампании TeamTNT использует новый усовершенствованный арсенал:

  • Masscan и сканер портов для поиска новых уязвимостей;
  • libprocesshider для запуска своего бота прямо из памяти;
  • 7z для распаковки загруженных файлов;
  • b374k shell, который является веб-администратором PHP и может использоваться для управления зараженными системами;
  • LaZagne •, приложение с открытым исходным кодом, используемое для получения паролей от нескольких приложений и нескольких веб-операционных систем, которые хранятся на локальном компьютере, в том числе от Chrome, Firefox, Wi-Fi, OpenSSH и различных программ баз данных.

Кроме того, согласно Palo Alto Networks, группа также добавила Kubernetes с открытым исходным кодом и набор инструментов для проникновения в облако Peirates в ходе разведки. В связи с чем TeamTNT получают еще больше возможностей для сбора информации в целевых средах AWS и Google Cloud, а также горизонтального перемещения и потенциальных атак с повышением привилегий, которые позволяют хакерам получить административный доступ ко всей облачной среде организации.

Поэтому за короткий срок хакерами реализовано более 5000 заражений, о чем теперь TeamTNT публично сообщает со страниц своего сайта, прикрутив к нему статистику заражений.

Чтобы не попасть в тину Chimaera, рекомендуем внимательно ознакомиться с техническими деталями новой кампании легендарной APT и взять на вооружение рекомендованные методы обнаружения возможных атак.

Статья полностью и целиком скопирована с русскоязычного телеграм канала. За точность передачи информации, CyberBase не отвечает. Информация не проверена, публикуется исключительно в ознакомительных целях, для последующего личного интереса прочитавших.