【安全资讯】深入了解TeamTNT组织的基础设施

猎影实验室 2021-10-09 08:21:27 678人浏览

引言

研究人员近日发现了一个包含目录列表的开放服务器,并以高置信度将其归因于德语的TeamTNT黑客组织。该服务器包含针对云环境的源代码、脚本、二进制文件和加密货币挖矿程序,另外,TeamTNT从 Amazon Web Services (AWS) 中窃取的的凭据也托管在服务器上。

 

简况

TeamTNT 是一个针对云环境的德语加密劫持黑客组织。该组织通常使用加密劫持恶意软件,自 2020 年 4 月以来一直活跃。 TeamTNT的恶意活动主要针对 AWS、Docker、GCP、Linux、Kubernetes 和 Windows环境。发现的该服务器用作为 TeamTNT 在攻击中使用的脚本和二进制文件提供服务,也用于为他们的bot进行 IRC 通信。该目录似乎自 2021 年 8 月以来一直在使用。该目录的内容包含元数据、脚本、源代码和被盗凭据。

 

技术分析

脚本(/cmd/)

服务器上包含大约 50 个脚本,其中大部分已经记录在/cmd/ 目录中。脚本的目标各不相同,包括以下内容:

  • AWS 凭证窃取器
  • Diamorphine Rootkit
  • IP 扫描仪
  • Mountsploit
  • 用于设置实用程序的脚本
  • 设置矿工的脚本
  • 删除以前矿工的脚本

/cmd/路径的脚本目录如下:

二进制文件(/bin/)

在 /bin/ 文件夹中,存放一组TeamTNT 在其操作中所使用的恶意二进制文件和实用程序。在这些文件中,包括Tsunami 后门和 XMRig 加密矿工。部分工具的源代码位于服务器上,例如 TeamTNT Bot。文件夹 /atb 中包含 TeamTNT bot 的源代码。/bin/ 文件夹还包含实用程序,包括 masscan、ngrok、peirates、pnscan、wget、zgrab。这些实用程序将用于执行恶意活动。

/bin/路径的二进制文件目录如下:

元数据(/in/)

文件夹 /in/中包含许多有趣的数据,其中两个子文件夹 AWS/ 和 results/,内部似乎包含 S3 存储库和被盗 AWS 凭证的列表,如下图所示:

另外,docker_ips.txt 和 weave_uniq.txt 两个文本文件包含 IP 列表,Docker 文件共有 13,282 个 IP 地址。另一个文件“HoneyPots.txt”包含引用 484 个 Docker 容器的数据。

/in/ 路径的元数据文件目录如下:

部署恶意的Docker镜像

另外一个安全团队发现了TeamTNT组织部署了一个恶意的Docker映像,并使用恶意 Docker 映像中的扫描工具,尝试扫描受害者子网中的更多目标并执行进一步的恶意活动。

TeamTNT 的攻击链如下:

TeamTNT 攻击生命周期

总结

TeamTNT 是一个高度活跃的黑客组织,正在不断发展并针对云基础设施。虽然这不是 TeamTNT 组织第一次开放,但目前尚不清楚 TeamTNT 这样操作的原因,该组织似乎并不介意公开他们的工具集,并将在 Twitter 上与安全研究人员接触,甚至提供如何利用这些工具的建议。

失陷指标(IOC)9
TeamTNT 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。