Black-T

Black-T Popis

Black-T je hrozba trojského malwaru, která se podle všeho používá jako součást arzenálu hackerské skupiny známé jako TeamTNT. Zpočátku byla hlavní činností TeamTNT distribuce těžařů kryptoměny pro kryptoměnu Monero. Hackeři s nedostatečným zabezpečením prohledali síť pro instalace Dockeru a kompromitovali je tím, že poskytli užitečné zatížení kryptoměn.

Vědci v oblasti kybernetické bezpečnosti si však všimli, že skupina TeamTNT diverzifikovala svou škálu operací a rozšířila a upravila svou sadu nástrojů pro malware. Nejprve hackeři dali svému šifrovacímu červi možnost sbírat přihlašovací údaje a konfigurační soubory Amazon Web Services (AWS) v prostém textu z napadených systémů Docker nebo Kubernetes. Poté byla pozorována kybernetická skupina využívající legitimní open-source nástroj s názvem Weave Scope. Tento nástroj umožnil hackerům převzít úplnou kontrolu nad cloudovou infrastrukturou oběti a také mapovat běžící procesy, kontejnery a hostitele na napadených serverech.

Sbírání hesel prostřednictvím škrábání paměti

Byla analyzována nejnovější verze malwarového nástroje TeamTNT, kterou vědci z Unit42 nazvali Black-T, a chlubila se ještě širší škálou ohrožujících funkcí. Díky využití nástrojů se dvěma otevřenými zdroji - mimipy a mimipenguin, které jsou koncepčně podobné nástroji pro shromažďování hesel Mimikatz, je Black-T zaměřen na počítače * NIX. Cílem je vyškrábat paměť ohrožených systémů na všechna hesla v prostém textu, která se poté odešlou do infrastruktury Command-and-Control (C2, C&C). Podobně jako při shromažďování pověření AWS, TeamTNT pravděpodobně použije hesla pro další ohrožující aktivity proti napadené oběti.

Black-T má ve svém repertoáru další přírůstek, a to v podobě síťového skeneru GoLang s názvem zgrab, čímž se celkový počet skenerů zvýšil na tři. Další dva jsou pnscan a masscan. Malá stopa, kterou by TeamTNT možná hledal, aby se zařízení Android stala jedním z jejich cílů, je, že maskáč Black-T byl aktualizován a nyní cílí na port 5555 TCP.