Black-T

Black-T Opis

Black-T je trojanska prijetnja zlonamjernim softverom za koju se primjećuje da se koristi kao dio arsenala hakerske skupine poznate kao TeamTNT. U početku je glavna aktivnost TeamTNT bila distribucija rudara kriptovaluta za kriptovalutu Monero. Hakeri su skenirali mrežu za Dockerove instalacije s nedovoljnom sigurnošću i kompromitirali ih isporukom kripto-miner korisnog tereta.

Međutim, istraživači kibernetičke sigurnosti primijetili su da grupa TeamTNT diverzificira svoj spektar operacija i proširuje i modificira svoj paket alata za zlonamjerni softver. Prvo su hakeri dali svom kripto-dizalnom crvu mogućnost da prikuplja vjerodajnice otvorenog teksta Amazon Web Services (AWS) i konfiguracijske datoteke iz ugroženih sustava Docker ili Kubernetes. Zatim je primijećeno da je internetska kriminalna skupina iskorištavala legitimni alat otvorenog koda nazvan Weave Scope. Alat je omogućio hakerima da preuzmu potpunu kontrolu nad žrtvinom oblačnom infrastrukturom, kao i mapiranjem pokrenutih procesa, spremnika i hostova na ugroženim poslužiteljima.

Prikupljanje lozinki pomoću struganja memorije

Analizirana je najnovija verzija zlonamjernog alata TeamTNT, koju su istraživači iz Unit42 nazvali Black-T i koja se mogla pohvaliti još širim nizom prijetećih funkcija. Korištenjem alata s otvorenim kodom - mimipy i mimipenguin, koji su po konceptu slični alatu za prikupljanje lozinki Mimikatz , Black-T cilja * NIX računala. Cilj je struganje memorije ugroženih sustava za bilo koje lozinke s otvorenim tekstom koje se zatim šalju infrastrukturi Command-and-Control (C2, C&C). Slično prikupljanju vjerodajnica AWS, TeamTNT će vjerojatno koristiti lozinke za dodatne prijeteće aktivnosti protiv ugrožene žrtve.

Black-T ima još jedan dodatak svom repertoaru, u obliku mrežnog skenera GoLang zvanog zgrab, čime je ukupan broj skenera povećan na tri. Ostale dvije su pnscan i masscan. Mali trag koji TeamTNT možda želi učiniti Android uređajima jednim od svojih ciljeva jest da je Black-T-ov masscan ažuriran i sada cilja 5555 TCP priključak.