Black-T

Black-T Descrizione

Black-T è una minaccia di malware Trojan utilizzata come parte dell'arsenale di un gruppo di hacker noto come TeamTNT. Inizialmente, l'attività principale di TeamTNT era la distribuzione di minatori di criptovaluta per la criptovaluta Monero. Gli hacker hanno scansionato la rete alla ricerca di installazioni Docker con sicurezza insufficiente e le hanno compromesse fornendo un payload di cripto-miner.

Tuttavia, i ricercatori sulla sicurezza informatica hanno notato che il gruppo TeamTNT ha diversificato la sua gamma di operazioni e ampliato e modificato il suo toolkit malware. In primo luogo, gli hacker hanno dato al loro worm crypto-jacking la capacità di raccogliere credenziali Amazon Web Services (AWS) in chiaro e file di configurazione dai sistemi Docker o Kubernetes compromessi. Quindi, il gruppo di criminali informatici è stato osservato sfruttare uno strumento open source legittimo chiamato Weave Scope. Lo strumento ha consentito agli hacker di assumere il controllo completo sull'infrastruttura cloud della vittima, nonché di mappare i processi, i contenitori e gli host in esecuzione sui server compromessi.

Raccolta di password tramite lo scraping della memoria

L'ultima versione dello strumento malware di TeamTNT, chiamato Black-T dai ricercatori dell'Unità42, è stata analizzata e vantava una gamma ancora più ampia di funzioni minacciose. Utilizzando due strumenti open source: mimipy e mimipenguin, che sono simili nel concetto allo strumento di raccolta delle password Mimikatz, Black-T prende di mira i computer * NIX. L'obiettivo è raschiare la memoria dei sistemi compromessi per eventuali password in testo normale che vengono poi inviate all'infrastruttura Command-and-Control (C2, C&C). Analogamente alla raccolta delle credenziali AWS, è probabile che TeamTNT utilizzi le password per ulteriori attività minacciose contro la vittima compromessa.

Black-T ha un'altra aggiunta al suo repertorio, tuttavia, sotto forma di uno scanner di rete GoLang chiamato zgrab, portando il numero totale di scanner a tre. Gli altri due sono pnscan e masscan. Un piccolo indizio che TeamTNT potrebbe cercare di rendere i dispositivi Android uno dei loro obiettivi è che il masscan di Black-T è stato aggiornato e ora si rivolge alla porta TCP 5555.