Black-T

Black-T is een Trojan-malwarebedreiging waarvan wordt aangenomen dat deze wordt gebruikt als onderdeel van het arsenaal van een hackergroep die bekend staat als TeamTNT. Aanvankelijk was de hoofdactiviteit van TeamTNT de distributie van cryptocurrency-mijnwerkers voor de Monero-cryptocurrency. De hackers hebben het net gescand op Docker-installaties met onvoldoende beveiliging en deze gecompromitteerd door een cryptominer-payload te leveren.

Cybersecurity-onderzoekers hebben echter gemerkt dat de TeamTNT-groep zijn reeks activiteiten heeft gediversifieerd en zijn malwaretoolkit heeft uitgebreid en aangepast. Ten eerste gaven de hackers hun crypto-jacking-worm de mogelijkheid om in platte tekst Amazon Web Services (AWS) -referenties en configuratiebestanden te verzamelen van de gecompromitteerde Docker- of Kubernetes-systemen. Vervolgens werd geobserveerd dat de cybercriminele groep een legitieme open-source tool gebruikte genaamd Weave Scope. Met de tool konden de hackers de volledige controle krijgen over de cloudinfrastructuur van het slachtoffer, en lopende processen, containers en hosts op gecompromitteerde servers in kaart brengen.

Wachtwoorden verzamelen door middel van geheugenschrapen

De nieuwste versie van de malware-tool van TeamTNT, Black-T genaamd door de onderzoekers van Unit42, werd geanalyseerd en beschikte over een nog breder scala aan bedreigende functies. Door gebruik te maken van twee open source-tools - mimipy en mimipenguin, die qua concept vergelijkbaar zijn met de tool voor het verzamelen van wachtwoorden Mimikatz, richt Black-T zich op * NIX-computers. Het doel is om het geheugen van de gecompromitteerde systemen te schrapen voor wachtwoorden in platte tekst die vervolgens naar de Command-and-Control-infrastructuur (C2, C&C) worden gestuurd. Net als bij het verzamelen van AWS-inloggegevens, zal TeamTNT de wachtwoorden waarschijnlijk gebruiken voor aanvullende bedreigende activiteiten tegen het gecompromitteerde slachtoffer.

Black-T heeft echter nog een toevoeging aan zijn repertoire, in de vorm van een GoLang-netwerkscanner genaamd zgrab, waarmee het totale aantal scanners op drie komt. De andere twee zijn pnscan en masscan. Een kleine aanwijzing dat TeamTNT er misschien naar zou kijken om Android-apparaten tot een van hun doelen te maken, is dat Black-T's masscan is bijgewerkt en nu gericht is op de 5555 TCP-poort.