影響迅速不易察覺，Team犯罪團伙的Chimaera活動瞄準全球組織

AT&T Alien Labs研究人員發現了一項名為Chimaera的新活動，這項活動由TeamT.NT小組進行，目標是全球各地的組織機構。

通過收集到的證據表明，該活動始于2021年7月25日，攻擊者在攻擊中使用了大量開源工具。威脅行為者利用開源工具來避免檢測，并難以確定攻擊的歸因。

TeamT.NT僵尸網絡是一種加密挖掘惡意軟件操作，自2020年4月以來一直活躍，目標是Docker安裝。安全公司Trend Micro詳細介紹了TeamT.NT小組的活動 ，但在2020 年8月，Cado Security專家發現該僵尸網絡也能夠針對配置錯誤的Kubernetes安裝。

2021年1月，該網絡犯罪團伙使用Hildegard惡意軟件發起了一項針對Kubernetes環境的新活動。

Chimaera活動目標是多個操作系統(Windows、不同的 Linux 發行版，包括 Alpine(用于容器)、AWS、Docker和Kubernetes)和應用程序，犯罪團伙使用大量shell/批處理腳本的威脅參與者、新的開源工具、加密貨幣礦工、TeamT.NT IRC機器人等等。

該活動非常陰險，截至2021年8月30日，攻擊者使用的許多惡意軟件樣本仍然沒有被防病毒軟件檢測到。這場運動在短短幾個月內就在全球造成了數千個感染。

該小組使用的部分工具列表包括：

Masscan 和端口掃描程序，以搜索新的感染候選者

libprocesshider 用于直接從內存中執行他們的機器人

7z 解壓下載的文件

B374k shell，這是一個PHP web管理員，可以用來控制被感染的系統

Lazagne，一種適用于多個 Web 操作系統的開源工具，用于從眾多應用程序中收集存儲的憑據。

Palo Alto Networks 的研究人員分析了同一活動，報告稱該組織還在使用云滲透測試工具集來針對名為Peirates的基于云的應用程序。

專家指出，即使該組織正在擴大其武器庫以增加新功能，但仍然專注于加密貨幣挖掘。

“AT&T Alien Labs 發現了由威脅參與者TeamT.NT分發的新惡意文件。正如研究人員在較早的活動中觀察到的TeamT.NT，他們專注于竊取云系統憑據，使用受感染的系統進行加密貨幣挖掘，以及濫用受害者的機器搜索并傳播到其他易受攻擊的系統。”

“通過使用像Lazagne這樣的開源工具可以讓TeamT.NT在一段時間內保持低調，讓反病毒公司更難發現。”

犯罪團伙越來越掌握攻擊手法，他們可以輕易逃過病毒查殺工具從而成功對網絡系統實施攻擊，早在2014年威脅防護公司Damballa發布的《感染狀態報告》中就指出了以預防為主的安全手段存在局限之處。隨著惡意軟件愈發存在針對性，防毒系統形同虛設。

隨著網絡環境更加復雜，網絡攻擊和惡意軟件技術手段日新月異，僅采用傳統網絡安全防護措施以難以應對，提升軟件自身安全性已成為確保網絡安全的重要補充手段。數據顯示，90%的網絡安全事件由安全漏洞被利用導致的，軟件安全漏洞離不開代碼問題，因此亟需使用靜態代碼檢測等方式檢測并修改代碼缺陷及問題，以確保軟件自身安全性，軟件安全已成為網絡安全最基礎的防線。

參讀鏈接：

https://www.woocoom.com/b021.html?id=a8b614b13f63499e82ff9ec5d21d7f6e

https://securityaffairs.co/wordpress/122037/cyber-crime/teamtnt-expands-arsenal.html