Black-T

Black-T Kuvaus

Black-T on troijalainen haittaohjelmauhka, jonka havaitaan olevan osana TeamTNT-nimisen hakkeri-ryhmän arsenaalia. Alun perin TeamTNT: n päätoiminta oli kryptovaluutta-kaivostyöntekijöiden jakelu Moneron kryptovaluutalle. Hakkerit etsivät verkkoa Docker-asennusten varalta riittämättömällä turvallisuudella ja vaarantivat ne toimittamalla salauskaivurien hyötykuorman.

Kyberturvallisuuden tutkijat ovat kuitenkin huomanneet, että TeamTNT-ryhmä on monipuolistanut toimintaansa ja laajentanut ja muuttanut haittaohjelmien työkalupakettiaan. Ensinnäkin hakkerit antoivat krypto-jacking-matolleen mahdollisuuden kerätä selkeät Amazon Web Services (AWS) -tunnistetiedot ja määritystiedostot vaarantuneista Docker- tai Kubernetes-järjestelmistä. Sitten verkkorikollisryhmä havaittiin hyödyntävän laillista avoimen lähdekoodin työkalua nimeltä Weave Scope. Työkalu antoi hakkereille mahdollisuuden hallita uhrin pilvi-infrastruktuuria sekä kartoittaa käynnissä olevia prosesseja, kontteja ja isäntiä vaarantuneilla palvelimilla.

Salasanojen kerääminen kaapimalla muistia

Uusin versio TeamTNT: n haittaohjelmatyökalusta, jonka Unit42: n tutkijat kutsuivat Black-T: ksi, analysoitiin, ja siinä oli vielä laajempi joukko uhkaavia toimintoja. Käyttämällä kahta avoimen lähdekoodin työkalua - mimipyä ja mimipenguiinia, jotka ovat konseptiltaan samanlaisia kuin salasanojen keräystyökalu Mimikatz, Black-T kohdistaa * NIX-tietokoneisiin. Tavoitteena on kaavata vaarantuneiden järjestelmien muisti selväkielisistä salasanoista, jotka sitten lähetetään Command-and-Control (C2, C&C) -infrastruktuuriin. Samoin kuin AWS-tunnistetietojen keräämisessä, TeamTNT todennäköisesti käyttää salasanoja uhkaavia uhkia vastaan.

Black-T: llä on toinen lisäys ohjelmistoonsa, vaikka se on GoLang-verkkoskanneri, nimeltään zgrab, jolloin skannerien kokonaismäärä on kolme. Kaksi muuta ovat pnscan ja masscan. Pieni vihje, jonka TeamTNT saattaa olla suunnittelemassa Android-laitteiden asettamisesta yhdeksi kohteistaan, on se, että Black-T: n massanäkymä päivitettiin ja se kohdistuu nyt 5555 TCP -porttiin.