TEAMTNT por medio de criptojacking ataca instancias en la nube y entornos de contenedores

El actor de amenazas conocido como TeamTNT ha estado apuntando a instancias en la nube y entornos en contenedores en sistemas de todo el mundo durante al menos dos años.

Los hallazgos fueron hechos por investigadores de seguridad de CloudSEK , quienes publicaron un aviso el jueves que detalla una línea de tiempo de los ataques de TeamTNT desde febrero de 2020 hasta julio de 2021.

De acuerdo a los investigadores, el perfil de Github del grupo contiene 25 repositorios públicos, la mayoría de los cuales son bifurcaciones de herramientas populares de red teaming y otros repositorios posiblemente utilizados por ellos.

Además, del dominio detectado y supuestamente asociado con TeamTNT se registró el 10 de febrero de 2020, el mismo período de tiempo en que el equipo comenzó a apuntar activamente a los servidores de Redis.

El objetivo de TeamTNT era el cryptojacking, ya que el grupo desplegó una serie de herramientas que normalmente se usan para estos ataques, incluidos pnscan , Tsunami y xmrigCC, entre otros.

TeamTNT luego, según se informa, comenzó a atacar las instancias de Docker en mayo de 2020, en su mayoría utilizando las mismas herramientas centradas en el criptojacking, pero introduciendo el uso del escáner masivo de puertos TCP junto con imágenes maliciosas de Alpine.

A lo largo de agosto de 2020, el grupo de ciberdelincuentes continuó sus ataques a Docker, pero comenzaron a usar las imágenes de Ubuntu directamente en lugar de Alpine. También implementaron el rootkit Linux Kernel Module (LKM) conocido como Diamorphine para ocultar sus actividades en las máquinas infectadas.

Meses después, comenzaron a explotar Weavescope para solucionar problemas y aprovecharlo como puerta trasera, y en enero de 2021, un informe de Lacework Labs sugirió que TeamTNT estaba usando tres nuevas herramientas de hacking dirigidas a Kubernetes: Peirates, Botb y libprocesshider.

Según los informes, en la segunda mitad de 2021, la lista de objetivos del grupo siguió siendo la misma, pero ampliaron sus capacidades de robo de credenciales a servicios y aplicaciones adicionales, incluidos AWS, Filezilla y GitHub, entre otros. En julio, TeamTNT lanzó una campaña llamada ‘Chimaera’, lo que sugiere que el grupo continuó con sus ataques a los servicios Docker, Kubernetes y Weavescope.

Los investigadores sugirieron que el grupo probablemente se originó en Alemania porque la mayoría de los tweets y guiones de bash (incluidos los comentarios) están en alemán, y la ubicación de la cuenta está establecida en ‘Deutschland’.

Intezer, NS

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas

CURSOS PROFESIONALES DE TECNOLOGÍA VER CURSOS
¿Quieres ganar una membresía anual? ¡Claro!