Black-T

O Black-T é uma ameaça de malware que foi usada como parte do arsenal de um grupo de hackers conhecido como TeamTNT. Inicialmente, a principal atividade do TeamTNT era a distribuição de mineradores de cripto-moedas para a cripto-moeda Monero. Os hackers vasculharam a rede em busca de instalações de um Docker com segurança insuficiente e o comprometeram, entregando uma carga útil doesse minerador de cripto-moeda.

No entanto, os pesquisadores de segurança cibernética perceberam que o grupo TeamTNT diversificou a sua gama de operações e expandiu e modificou o seu kit de ferramentas de malware. Primeiro, os hackers deram ao seu worm a capacidade de coletar credenciais de texto simples do Amazon Web Services (AWS) e arquivos de configuração dos sistemas Docker ou Kubernetes comprometidos. Em seguida, o grupo de cibercriminosos foi observado explorando uma ferramenta legítima de código aberto chamada Weave Scope. A ferramenta permitiu que os hackers assumissem o controle total sobre a infraestrutura na Nuvem da vítima, bem como mapeassem processos em execução, contêineres e hosts nos servidores comprometidos.

Coletando Senhas por Meio de Extração de Memória

A versão mais recente da ferramenta de malware do TeamTNT, chamada Black-T pelos pesquisadores da Unit42, foi analisada e apresentava uma gama ainda maior de funções de ameaça. Ao utilizar duas ferramentas de código aberto - mimipy e mimipenguin, que são semelhantes em conceito à ferramenta de coleta de senhas Mimikatz, o Black-T tem como alvo os computadores NIX. O objetivo é raspar a memória dos sistemas comprometidos em busca de qualquer senha de texto simples que será enviada para a infraestrutura de Comando e Controle (C2, C&C). Semelhante à coleta de credenciais da AWS, o TeamTNT provavelmente usará as senhas para atividades ameaçadoras adicionais contra a vítima comprometida.

O Black-T tem outra adição ao seu repertório, porém, na forma de um digitalizador de rede GoLang chamado zgrab, elevando o número total de digitalizadores para três. Os outros dois são o pnscan e o masscan. Uma pequena pista de que o TeamTNT pode estar procurando tornar os dispositivos Android um de seus alvos é que o masscan do Black-T foi atualizado e agora tem como alvo a porta 5555 TCP.