Black-T

Black-T to szkodliwe oprogramowanie trojańskie, które zostało zaobserwowane jako część arsenału grupy hakerów znanej jako TeamTNT. Początkowo główną działalnością TeamTNT była dystrybucja kopaczy kryptowalut dla kryptowaluty Monero. Hakerzy przeskanowali sieć w poszukiwaniu instalacji Dockera z niewystarczającym zabezpieczeniem i włamali się do nich, dostarczając ładunek koparki kryptograficznej.

Jednak naukowcy zajmujący się cyberbezpieczeństwem zauważyli, że grupa TeamTNT dywersyfikuje zakres swojej działalności oraz rozszerza i modyfikuje swój zestaw narzędzi do złośliwego oprogramowania. Po pierwsze, hakerzy dali swojemu robakowi krypto-jackingowi możliwość zbierania danych uwierzytelniających Amazon Web Services (AWS) i plików konfiguracyjnych z zainfekowanych systemów Docker lub Kubernetes w postaci zwykłego tekstu. Następnie zaobserwowano, że grupa cyberprzestępców wykorzystywała legalne narzędzie open source o nazwie Weave Scope. Narzędzie to pozwoliło hakerom przejąć pełną kontrolę nad infrastrukturą chmury ofiary, a także zmapować uruchomione procesy, kontenery i hosty na zaatakowanych serwerach.

Zbieranie haseł za pomocą skrobania pamięci

Przeanalizowano najnowszą wersję złośliwego oprogramowania TeamTNT, nazwaną Black-T przez badaczy z Unit42, która szczyciła się jeszcze szerszym wachlarzem groźnych funkcji. Wykorzystując dwa narzędzia open source - mimipy i mimipenguin, które są podobne w koncepcji do narzędzia do zbierania haseł Mimikatz, Black-T jest skierowany do komputerów * NIX. Celem jest pobranie z pamięci zainfekowanych systemów haseł w postaci zwykłego tekstu, które są następnie wysyłane do infrastruktury dowodzenia i kontroli (C2, C&C). Podobnie jak w przypadku zbierania danych uwierzytelniających w AWS, TeamTNT prawdopodobnie użyje haseł do dodatkowych działań zagrażających zagrożonej ofierze.

Black-T ma jednak inny dodatek do swojego repertuaru, w postaci skanera sieciowego GoLang o nazwie zgrab, zwiększającego łączną liczbę skanerów do trzech. Pozostałe dwa to pnscan i masscan. Niewielką wskazówką, że TeamTNT może chcieć uczynić urządzenia z Androidem jednym z celów, jest to, że masscan Black-T został zaktualizowany i teraz jest skierowany na port TCP 5555.