影响迅速不易察觉!TeamTNT犯罪团伙的Chimaera活动瞄准全球组织

AT&T Alien Labs研究人员发现了一项名为Chimaera的新活动,这项活动由TeamTNT小组进行,目标是全球各地的组织机构。

通过收集到的证据表明,该活动始于2021年7月25日,攻击者在攻击中使用了大量开源工具。威胁行为者利用开源工具来避免检测,并难以确定攻击的归因。

TeamTNT僵尸网络是一种加密挖掘恶意软件操作,自2020年4月以来一直活跃,目标是Docker安装。 安全公司Trend Micro详细介绍了TeamTNT小组的活动 ,但在2020 年8月,Cado Security专家发现该僵尸网络也能够针对配置错误的Kubernetes安装。

2021年1月,该网络犯罪团伙使用Hildegard恶意软件发起了一项针对Kubernetes环境的新活动。

Chimaera活动目标是多个操作系统(Windows、不同的 Linux 发行版,包括 Alpine(用于容器)、AWS、Docker和Kubernetes)和应用程序,犯罪团伙使用大量shell/批处理脚本的威胁参与者、新的开源工具、加密货币矿工、TeamTNT IRC机器人等等。

该活动非常阴险,截至2021年8月30日,攻击者使用的许多恶意软件样本仍然没有被防病毒软件检测到。这场运动在短短几个月内就在全球造成了数千个感染。

该小组使用的部分工具列表包括:

Masscan 和端口扫描程序,以搜索新的感染候选者

libprocesshider 用于直接从内存中执行他们的机器人

7z 解压下载的文件

B374k shell,这是一个PHP web管理员,可以用来控制被感染的系统

Lazagne,一种适用于多个 Web 操作系统的开源工具,用于从众多应用程序中收集存储的凭据。

Palo Alto Networks 的研究人员分析了同一活动,报告称该组织还在使用云渗透测试工具集来针对名为Peirates的基于云的应用程序。

图片2.png

专家指出,即使该组织正在扩大其武器库以增加新功能,但仍然专注于加密货币挖掘。

“AT&T Alien Labs 发现了由威胁参与者TeamTNT分发的新恶意文件。正如研究人员在较早的活动中观察到的TeamTNT,他们专注于窃取云系统凭据,使用受感染的系统进行加密货币挖掘,以及滥用受害者的机器搜索并传播到其他易受攻击的系统。”

“通过使用像Lazagne这样的开源工具可以让TeamTNT在一段时间内保持低调,让反病毒公司更难发现。”

犯罪团伙越来越掌握攻击手法,他们可以轻易逃过病毒查杀工具从而成功对网络系统实施攻击,早在2014年威胁防护公司Damballa发布的《感染状态报告》中就指出了以预防为主的安全手段存在局限之处。随着恶意软件愈发存在针对性,防毒系统形同虚设。

随着网络环境更加复杂,网络攻击和恶意软件技术手段日新月异,仅采用传统网络安全防护措施以难以应对,提升软件自身安全性已成为确保网络安全的重要补充手段。数据显示,90%的网络安全事件由安全漏洞被利用导致的,软件安全漏洞离不开代码问题,因此亟需使用静态代码检测等方式检测并修改代码缺陷及问题,以确保软件自身安全性,软件安全已成为网络安全最基础的防线。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

securityaffairs.co/wordpress/1…

评论