Black-T

Black-T Beskrivelse

Black-T er en trojansk malware-trussel, der observeres brugt som en del af en hacker-gruppes arsenal kendt som TeamTNT. Oprindeligt var TeamTNTs hovedaktivitet distribution af kryptovaluta-minearbejdere til Monero-kryptovalutaen. Hackerne scannede nettet efter Docker-installationer med utilstrækkelig sikkerhed og kompromitterede dem ved at levere en crypto-minearbejdsbelastning.

Imidlertid har cybersikkerhedsforskere bemærket, at TeamTNT-gruppen har diversificeret sit udvalg af operationer og udvidet og ændret sit malware-værktøjssæt. For det første gav hackerne deres crypto-jacking-orm muligheden for at indsamle almindelig Amazon Web Services (AWS) legitimationsoplysninger og konfigurere filer fra de kompromitterede Docker- eller Kubernetes-systemer. Derefter blev den cyberkriminelle gruppe observeret ved at udnytte et legitimt open source-værktøj kaldet Weave Scope. Værktøjet tillod hackere at tage fuld kontrol over ofrets skyinfrastruktur samt kortkøre processer, containere og værter på kompromitterede servere.

Indsamling af adgangskoder gennem hukommelsesskrabning

Den seneste version af TeamTNT's malware-værktøj, kaldet Black-T af forskerne på Unit42, blev analyseret, og det pralede af en endnu bredere vifte af truende funktioner. Ved at bruge to open source-værktøjer - mimipy og mimipenguin, der i koncept svarer til værktøjet Mimikatz til indsamling af adgangskoder, retter Black-T sig mod * NIX-computere. Målet er at skrabe hukommelsen fra de kompromitterede systemer for eventuelle adgangskoder med almindelig tekst, der derefter sendes til Command-and-Control (C2, C&C) infrastrukturen. I lighed med AWS-legitimationsindsamling vil TeamTNT sandsynligvis bruge adgangskoderne til yderligere truende aktiviteter mod det kompromitterede offer.

Black-T har dog en anden tilføjelse til sit repertoire, dog i form af en GoLang-netværksscanner kaldet zgrab, hvilket bringer det samlede antal scannere til tre. De to andre er pnscan og masscan. En lille anelse om, at TeamTNT måske ser på at gøre Android-enheder til et af deres mål, er at Black-T's masscan blev opdateret og nu målretter mod 5555 TCP-porten.