TeamTNT 網絡犯罪團伙擴大其武器庫以瞄準全球數千個組織

AT&T Alien Labs 的研究人員發現了一項名為 Chimaera 的新活動，由TeamTNT 小組進行，針對全球組織。

專家收集的證據表明，該活動始于 2021 年 7 月 25 日，攻擊者在攻擊中使用了大量開源工具。威脅行為者利用開源工具來避免檢測并確定攻擊的歸屬。

TeamTNT 僵尸網絡是一種加密挖掘惡意軟件操作，自 2020 年 4 月以來一直活躍，目標是 Docker 安裝。 安全公司 Trend Micro詳細介紹了 TeamTNT 小組的活動 ，但在 2020 年 8 月，來自 Cado Security 的專家 發現 該僵尸網絡也能夠針對配置錯誤的 Kubernetes 安裝。

2021 年 1 月，網絡犯罪團伙  使用Hildegard 惡意軟件發起了一項針對 Kubernetes 環境的新活動 。

Chimaera 活動針對多個操作系統（Windows、不同的 Linux 發行版，包括 Alpine（用于容器）、AWS、Docker 和 Kubernetes）和應用程序，威脅參與者使用了廣泛的 shell/批處理腳本、新的開源工具、加密貨幣礦工、TeamTNT IRC 機器人等。

該活動非常陰險，截至 2021 年 8 月 30 日，攻擊者使用的許多惡意軟件樣本的AV 軟件檢測率仍然為零。該運動在短短幾個月內就造成了全球數千例感染。

該小組使用的部分工具列表包括：

• Masscan 和端口掃描程序以搜索新的感染候選者
• libprocesshider 用于直接從內存中執行他們的機器人
• 7z 解壓下載的文件
• b374k shell 是一個 php web 管理員，可用于控制受感染的系統
• Lazagne，一種適用于多個 Web 操作系統的開源工具，用于從眾多應用程序中收集存儲的憑據。

Palo Alto Networks 的研究人員分析了同一活動，報告稱該組織還在使用云滲透測試工具集來針對名為 Peirates 的基于云的應用程序。

專家指出，即使該組織正在擴大其武器庫以增加新功能，它仍然專注于加密貨幣挖掘。

“AT&T Alien Labs 發現了由威脅參與者 TeamTNT 分發的新惡意文件。正如研究人員在較早的活動中觀察到的 TeamTNT，他們專注于竊取云系統憑據，使用受感染的系統進行加密貨幣挖掘，以及濫用受害者的機器搜索并傳播到其他易受攻擊的系統。” 閱讀AT&T 發布的分析。“使用像 Lazagne 這樣的開源工具可以讓 TeamTNT 在一段時間內保持低調，讓反病毒公司更難發現。”