ოპერაცია Chimaera: TeamTNT ჰაკერულ ჯგუფს მთელ მსოფლიოში ათასობით მსხვერპლი ესხმის

  • Oct 28, 2023

კიბერკრიმინალები ახლა განურჩეველნი არიან იმ ოპერაციულ სისტემებში, რომლებსაც თავს ესხმიან.

TeamTNT ჰაკერულმა ჯგუფმა გააუმჯობესა თავისი თამაში ინსტრუმენტების ნაკრებით, რაც მას საშუალებას აძლევს განურჩევლად დაამიზნოს მრავალი ოპერაციული სისტემა.

უსაფრთხოება

  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

ოთხშაბათს კიბერუსაფრთხოების მკვლევარებმა AT&T Alien Labs-იდან ანგარიში გამოაქვეყნა ახალ კამპანიაზე, სახელწოდებით Chimaera, რომელიც, სავარაუდოდ, დაიწყო 2021 წლის 25 ივლისს - ეფუძნება ბრძანება და კონტროლი (C2) სერვერის ჟურნალი -- და ის, რომელმაც გამოავლინა გაზრდილი დამოკიდებულება ღია კოდის ინსტრუმენტებზე. საფრთხის ჯგუფი.

TeamTNT პირველად შენიშნეს გასულ წელს და დაკავშირებული იყო კრიპტოვალუტის მაინინგ მავნე პროგრამის დაყენებასთან დაუცველ Docker კონტეინერებზე. Trend Micro ასევე დაადგინა, რომ ჯგუფი ქურდობას ცდილობს

AWS სერთიფიკატები უფრო მეტ სერვერზე გავრცელებისთვის და Cado Security-მ ხელი შეუწყო TeamTNT-ის უახლეს აღმოჩენას, რომელიც მიზნად ისახავს Kubernetes-ის ინსტალაციას.

ახლა Alien Labs ამბობს, რომ ჯგუფი მიზნად ისახავს Windows, AWS, Docker, Kubernetes და Linux-ის სხვადასხვა ინსტალაციას, მათ შორის Alpine-ს. ხანმოკლე პერიოდის მიუხედავად, უახლესი კამპანია პასუხისმგებელია "ათასობით ინფექციაზე გლობალურად", - ამბობენ მკვლევარები.

TeamTNT-ის ღია კოდის ხელსაწყოების პორტფოლიო მოიცავს პორტის სკანერს Masscan, libprocesshider პროგრამულ უზრუნველყოფას TeamTNT ბოტის შესრულება მეხსიერებიდან, 7z ფაილის დეკომპრესიისთვის, b374k shell php პანელი სისტემის კონტროლისთვის, და ლაზანია.

Lazagne არის ღია კოდის პროექტი, რომელიც ჩამოთვლის ბრაუზერებს, მათ შორის Chrome-სა და Firefox-ს, ასევე Wi-Fi-ს, OpenSSH-ს და მონაცემთა ბაზის სხვადასხვა პროგრამებს, რომლებიც მხარდაჭერილია პაროლის მოძიებისა და რწმუნებათა სიგელების შესანახად.

პალო ალტო ქსელები ასევე აღმოაჩინა, რომ ჯგუფი იყენებს Peirates-ს, ღრუბელში შეღწევადობის ტესტირების ხელსაწყოებს ღრუბელზე დაფუძნებული აპლიკაციების დასამიზნებლად.

„ღია კოდის ინსტრუმენტების გამოყენება, როგორიცაა Lazagne, საშუალებას აძლევს TeamTNT-ს გარკვეული დროით დარჩეს რადარის ქვემოთ, რაც ართულებს ანტივირუსული კომპანიების აღმოჩენას“, - აცხადებენ კომპანიაში.

მიუხედავად იმისა, რომ ახლა თვითიარაღებულია კომპლექტით, რომელიც აუცილებელია სხვადასხვა ოპერაციული სისტემების დასარტყმელად, TeamTNT მაინც ფოკუსირებულია კრიპტოვალუტის მაინინგი.

Windows სისტემები, მაგალითად, გამიზნულია Xmrig მაინერით. იქმნება სერვისი და სერიული ფაილი ემატება გაშვების საქაღალდეს მდგრადობის შესანარჩუნებლად -- მაშინ როდესაც root payload კომპონენტი გამოიყენება დაუცველ Kubernetes სისტემებზე.

Alien Labs ამბობს, რომ 30 აგვისტოს მდგომარეობით, მავნე პროგრამების რამდენიმე ნიმუში ჯერ კიდევ არსებობს დაბალი გამოვლენა განაკვეთები.

წინა და დაკავშირებული გაშუქება

  • წვდომის ბროკერის საწყისი გამოყენება, მოპარული ანგარიშების გაყიდვები გაიზარდა ღრუბლოვანი სერვისის კიბერშეტევებში
  • კრიპტო-მაინინგის ბოტნეტი ახლა იპარავს Docker და AWS სერთიფიკატებს
  • კრიპტო-მაინინგის ჭია იპარავს AWS სერთიფიკატებს

გაქვთ რჩევა? უსაფრთხოდ დაუკავშირდით WhatsApp | სიგნალი +447713 025 499 ან მეტი Keybase-ზე: charlie0