توسعهدهندگان بدافزار Crypto-mining توانستند قابلیت سرقت گذرواژه لینوکس را به آن بیفزایند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گروه جرایم اینترنتی TeamTNT به تازگی Crypto-mining را با قابلیت سرقت رمز عبور و یک اسکنر شبکه بهروز کرده است تا گسترش آن را در سایر دستگاه های آسیب پذیر آسان کند. در حالی که این عمل بیشتر به خاطر هدف قرار دادن موارد Docker برای استفاده از سیستم های به خطر افتاده برای رمزگشایی غیر مجاز (Monero (XMR مشهور است، این گروه اکنون با بهروزرسانی بدافزار cryptojacking تاکتیکهای خود را تغییر داده و همچنین اعتبار کاربر را جمعآوری میکند.
محققان دریافتند که TeamTNT در تلاش برای افزایش توانایی بدافزارهایشان با قابلیتهای حذف رمز عبور هستند.
Black-T، هر نوع رمز عبور ساده را که در حافظه سیستمهای آسیبدیده پیدا و جمع کرده و آنها را به سرورهای کنترل و دستورTeamTNT تحویل می دهد.
ناتانیل کوئست، یک محقق است، وی در گزارشی گفت: «این اولینبار است که عاملان TeamTnT این نوع عملیات را پس از بهرهبرداری در TTPs خود گنجانده اند. مانند اسناد و مدارک سرقت شده AWS که توسط عاملان TeamTnT نیز ضبط شده است، این مدارک به احتمال زیاد برای عملیات مورد هدف سازمان مدیریت API Docker استفاده میشود.»
این گروه همچنین اسکنر شبکه zgrab GoLang را به کرم رمزگشایی Black-T، سومین اسکنر بالای pnscan و masscan، اضافه کرده است.
اسکنر masscan که توسط Black-T استفاده شده برای هدف قرار دادن پورت ۵۵۵۵ TCP به روز شده که ممکن است به TeamTnT اشاره کند و به صورت بالقوه دستگاه های اندرویدی را هدف قرار می دهد ، اگرچه شواهد در این مورد در حال حاضر بسیار ناچیز است.
رمزگشایی باتنت توسط این گروه اولینبار در ماه مه توسط MalwareHunterTeam مشاهده شد و بعدها توسط Trend Micro مورد بررسی قرار گرفت.
در ماه آگوست، محققان Cado Security اولین گروهی بودند که ویژگی جدید سرقت اطلاعات AWS کرم TeamTNT را ردیابی کردند و این اولین بدافزار مخفی cryptojacking با چنین قابلیتی بود.
ماه گذشته، TeamTNT توسط Intezer در حملاتی مشاهده شد که در آن متنباز Weave Scope را برای نقشهبرداری از فرایندهای در حال اجرا، کانتینرها و میزبان ها در سرورهای به خطر افتاده و همچنین کنترل برنامههای نصب شده، مستقر کرد.
از آنجا که Weave Scope با Docker ،Kubernetes، سیستم عامل (Distributed Cloud (DC/OS و AWS Elastic Compute Cloud یا (ECS) ادغام میشود به آنها این امکان را میدهد تا کنترل کامل زیرساختهای cloud قربانی را بهدست آورند.
با ترکیب همه این تاکتیکها ، تکنیکها و رویهها (TTP،TeamTNT) با استفاده از باتنت سرورهای به خطر افتاده برای اسکن محیطهای ابری با نصب Kubernetes و Docker با API ها با کمک اسکنرهای شبکه masscan ، pnscan و یا zgrab میپردازد.
هنگامی که بدافزار با موفقیت یک سرور را با پیکربندی نامناسب آلوده میکند، خود را در محفظههای جدید مستقر میکند و باینری payload مخرب را نصب میکند که فرایند رمزگشایی را برای (cryptocurrency Monero (XMR آغاز میکند.