Black-T

Black-T Kirjeldus

Black-T on Trooja pahavara oht, mida täheldatakse TeamTNT nime all tuntud häkkerite rühma arsenali osana. Esialgu oli TeamTNT põhitegevuseks krüptoraha kaevurite jaotamine Monero krüptoraha jaoks. Häkkerid kontrollisid võrku Dockeri installatsioonide jaoks ebapiisava turvalisusega ja ohustasid neid krüptokaevurite kasuliku koormaga.

Küberjulgeoleku uurijad on aga märganud, et TeamTNT grupp on mitmekesistanud oma tegevusvaldkonda ning laiendanud ja muutnud oma pahavara tööriistakomplekti. Esiteks andsid häkkerid oma krüpteerimis-ussile võimaluse koguda Amazoni veebiteenuste (AWS) mandaate ja konfigureerimisfaile rikutud Dockeri või Kubernetese süsteemidest. Seejärel täheldati küberkurjategijate rühmituses seaduslikku avatud lähtekoodiga tööriista Weave Scope kasutamist. Tööriist võimaldas häkkeritel haaratud pilvinfrastruktuuri üle täielikku kontrolli omada, samuti kaardistada töötavaid protsesse, konteinereid ja hoste rikutud serverites.

Paroolide kogumine mälu kraapimise kaudu

Analüüsiti TeamTNT pahavara tööriista uusimat versiooni, mida Unit42 teadlased kutsusid Black-T-ks, ja see uhkustas veelgi laiema hulga ähvardavate funktsioonidega. Kasutades kahte avatud lähtekoodiga tööriista - mimipy ja mimipenguin, mis on oma kontseptsioonilt sarnased paroolikogumisvahendiga Mimikatz, sihib Black-T * NIX-i arvuteid. Eesmärk on kraapida rikutud süsteemide mälu kõigi teksttekstiga paroolide jaoks, mis seejärel saadetakse käskude ja juhtimiste (C2, C & C) infrastruktuuri. Sarnaselt AWS-i mandaatide kogumisele kasutab TeamTNT tõenäoliselt paroole täiendavaks ähvardavaks tegevuseks ohustatud ohvri vastu.

Black-T-l on oma repertuaaris veel üks täiendus, GoLangi võrguskänneri nimega zgrab, mis viis skannerite koguarvu kolmele. Kaks ülejäänud on pnscan ja masscan. Väike vihje, mida TeamTNT võiks Android-seadmete seadmise üheks sihtmärgiks pidada, on see, et Black-T masskaant uuendati ja sihib nüüd 5555 TCP-porti.