TeamTNT ボットネットの狙いは Org:潜み続けて暗号をマイニング

TeamTNT cybercrime gang expands its arsenal to target thousands of orgs worldwide

2021/09/09 SecurityAffairs — AT&T Alien Labs の研究者たちは、TeamTNT グループが Chimaera という名の新しいキャンペーンで、世界中の Org を狙っていることを発見した。専門家が収集した証拠によると、このキャンペーンは 2021年7月25日に開始され、脅威アクターたちはオープンソースのツールを、攻撃のために大量に使用していた。

脅威アクターたちは、検知されるのを避け、攻撃者の特定を困難にするために、オープンソースのツールを活用する。TeamTNT ボットネットは、Docker のインストールを標的とした暗号マイニングのマルウェアであり、2020年4月から活動している。

TeamTNT グループの活動については Trend Micro が詳しく説明しているが、2020年8月には Cado Security の専門家が、誤って設定された Kubernetes のインストールも、そのボットネットの標的になることを発見した。2021年1月に TeamTNT は、Kubernetes 環境を標的として、Hildegard マルウェアを忍び込ませるという新たなキャンペーンを開始した。

この Chimaera キャンペーンは、複数のオペレーティング・システム (Windows/Linux/AWS/Docker/Kubernetes) とアプリケーションを標的とし、また、シェル/バッチスクリプト/オープンソースツール/暗号通貨マイナー/TeamTNT IRC ボットなどが幅広く用いられた。

このキャンペーンは非常に狡猾であり、2021年8月30日現在、攻撃者が使用した多くのマルウェア・サンプルは、アンチウィルス・ソフトウェアから1件も検出されていない。このキャンペーンは、わずか2ヶ月の間に、世界中で数千件の感染を引き起こしている。同グループが使用している、ツールの一部を紹介する。

・新たな感染候補を探すための Masscan およびポートスキャナ
・ボットをメモリから直接に実行するための libprocesshider
・ダウンロードしたファイルを解凍する 7z
・b374k shell:感染したシステムを制御するための PHP ウェブ管理ツール
・Lazagne:多数のアプリが保存する認証情報を収集するオープンソース・ツール

また、このキャンペーンを分析した Palo Alto Networks の研究者たちは、同グループがクラウドベースのアプリケーションを標的とした、クラウド侵入テスト・ツールセット Peirates も使用していると報告した。専門家たちは、このグループが、新たな機能を追加して武器を拡大しているが、重点を置いているのは暗号通貨のマイニングだとも指摘している。

AT&T Alien Labs は、脅威アクターである TeamTNT が配布する、新たな悪意のファイルを発見した。これまでのキャンペーンにおいて、TeamTNT を観察してきたように、彼らの目的はクラウド・システムの認証情報を盗み、感染したシステムを暗号通貨の採掘に利用し、それらのシステムを悪用して他システムを感染させることだ。Lazagne のようなオープンソースのツールを使用することで、TeamTNT は隠れ続けてきており、アンチ・ウイルスによる検出が難しくなっている。

このブログ内で検索してみたら、「約5万件の脆弱な IP アドレスが TeamTNT により Kubernetes クラスターに」というポストが見つかりました。こちらの記事には、「TeamTNT ボットネットとは、Docker インストールを標的としたクリプト・マイニング・マルウェアであり、設定ミスのある Kubernetes インストールも標的になる」と書かれていました。まだ、ちらほらとしか見かけませんが、コンテナ関連のインシデントにも、注意していく必要がありそうですね。

%d bloggers like this: