执行摘要

TeamTNT是一个专注对云举行加密挟制操作的攻击组织,以使用XMRig加密工具挖矿而广为人知。在近期TeamTNT组织的最新动态中,他们仍以AWS凭证和Kubernetes集群为目的,而且还确立了名为Black-T的新恶意软件,该软件集成了开源云原生工具,能协助他们的加密挟制。除此之外,TeamTNT使用AWS凭证来枚举AWS云环境,并试图识别与之绑定的所有身份和接见治理(IAM)权限、弹性盘算云(EC2)实例、简朴存储服务(S3)存储桶、CloudTrail设置和CloudFormation操作。该组织现在能网络包罗AWS和谷歌云在内的16个云平台或应用程序的凭证。

TeamTNT早在2020年8月就最先网络云实例上的AWS凭证,而对谷歌云凭证的窃取则示意TeamTNT的目的在进一步拓展,现在尚无迹象注释微软Azure、阿里巴巴云、甲骨文云或IBM云的这些云服务提供商成为攻击目的,但其IAM证书仍有可能通过类似的方式被锁定。

此外,TeamTNT还在其流动中添加了对开源Kubernetes和云渗透工具集Peirates的使用。有了这些手艺,TeamTNT越来越有能力在目的云环境中网络足够的信息,并用于执行后行使操作。这会导致更多的横向移动或提权攻击案例,最终可能让TeamTNT获得对整个云环境的治理接见权限。

停止本文揭晓时,TeamTNT网络了6.52012192枚门罗币(价值1,788美元)。采矿作业中的八个矿机以77.7KH/s的平均速率运行,此门罗币钱包地址存在了114天。

枚举手艺

Unit42研究职员确定了TeamTNT的恶意软件存储库之一为hxxp://45.9.148[.]35/chimaera/sh/,其中包罗多个bash剧本,用于执行加密挟制、破绽行使、横向移动和凭证抓取等操作,图1所示这个恶意软件存储库称为Chimaera存储库,它能体现TeamTNT在云环境中不停扩大的营业局限,当前和未来的面向目的。

图1.TeamTNT的Chimaera存储库

在Chimaera存储库中,有三个剧本体现了TeamTNT的定位和意图。第一个剧本是grab_aws-data.sh,(SHA256:a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593),它主要使用获取的AWSIAM凭证枚举AWS云环境;第二个剧本bd_aws.sh(SHA256:de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)从一个AWS实例提取所有SSH密钥,并标识当前运行在该实例上的所有可执行程序;最后的剧本search.sh(SHA256:ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存储在特定主机上的应用程序的设置文件。上述三个剧本都是新发现的,显露了TeamTNT以AWS、谷歌云环境中的应用程序为目的的意图。

枚举AWS环境

bash剧本grab_aws-data.sh包罗70个怪异的AWS下令行界面(AWSCLI)下令,用于枚举7类AWS服务,包罗IAM设置、EC2实例、S3存储桶、支持案例和直接毗邻,以及CloudTrail和CloudFormation。如图2所示,通过AWS枚举历程获得的所有值都存储在受熏染系统的内陆目录/var/tmp/.../...TnT.../aws-account-data/中。

图2.TeamTNT的grab_aws.sh剧本

TeamTNT剧本包罗以下七种AWS服务的下令:

· 44个EC2实例下令

· 14个IAM下令

· 4直接毗邻下令

· 4CloudFormation下令

· 2CloudTrail下令

· 1S3下令

· 1支持下令

凭证抓取

TeamTNT还扩展了他们的凭证抓取功效,好比识别并网络16个应用程序凭证,这些应用程序可能存在于受熏染的云端点上,也可能泛起在云实例上的任何已知用户帐户上,包罗根帐户,如下所示:

· SSHkeys.

· AWSkeys.

           s3clients.

           s3backer

           s3proxy

           s3ql

           passwd-s3fs

           s3cfg

· Docker.

· GitHub.

· Shodan.

· Ngrok.

· Pidgin.

· Filezilla.

· Hexchat.

· 谷歌云.

· ProjectJupyter.

· ServerMessageBlock(SMB)clients.

对谷歌云凭证的窃取值得注重,由于这是首个窃取除AWS之外的IAM产物凭证的攻击组织(参见图3),这类手法未来可能会被用于其他同类产物中,微软Azure、阿里云、甲骨文云或IBM云环境可能会成为攻击目的。研究职员以为,TeamTNT开发类似于上述grab_aws-data.sh的功效只是时间问题。

,

皇冠最新登陆网址

皇冠最新登陆网址(www.huangguan.us)实时更新发布最新最快的皇冠最新登陆代理线路网址、皇冠最新登陆会员线路网址、皇冠最新备用登录网址、皇冠最新手机版登录网址。

,

图3.TeamTNT的search.sh剧本搜索谷歌云凭证

横向移动操作

下面的程序是专门处置横向移动的。

Weaveworks

在search.sh剧本中,有几个应用程序显示了TeamTNT操作不停生长的攻击模式。

在Chimaera存储库中,Unit42研究职员确定了几个剧本,这些剧本可以挑选出特定的应用程序,其中之一是Weaveworks(参见图4)。Weave是为Docker和Kubernetes等容器基础设施开发的微服务网络网格应用程序,允许微服务在一个或多个主机上运行,同时保持网络毗邻。通过以Weave安装为目的,TeamTNT有可能使用Weave网络网格应用程序在容器内实现横向移动。从剧本setup_scope.sh中的base64编码代码中可以看出(SHA256:584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1),TeamTNT的目的是包罗WeaveDocker容器用户帐户信息。

图4.TeamTNT剧本setup_scope.shbase64解码代码

图5.为门罗币挖掘而确立的内陆Docker镜像

ProjectJupyter

ProjectJupyter也列为TeamTNT操作的目的,首先是在search.sh剧本中作为凭证抓取的目的,其次作为beta横向移动剧本spread_jupyter_tmp.sh(SHA256:0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究职员还在某TeamTNT职员的Twitter帐户中发现了对Jupyter的引用。如图6所示,内容提到了某个遭入侵的Jupyter端点。

图6.TeamTNT职员展示某个遭入侵的Jupyter端点

Peirates

Peirates工具被TeamTNT用于对AWS和Kubernetes的入侵操作,有多种功效,如图7所示。该工具可以让攻击者考察和识别Kubernetes和云环境中的错误设置或潜在破绽,并可以让TeamTNT对云基础设施执行入侵行动。

图7.Peirates渗透测试选项

门罗币挖矿营业

TeamTNT在运营上仍然专注于加密挟制。前几节先容了TeamTNT用于扩展其加密挟制基础设施的新手艺的发现,以下部门将重点先容用于执行其加密挟制操作的历程相关的发现。

内陆Docker镜像

值得注重是剧本文件docker.container.local.spread.txt,其中列出了内陆Docker映像的名称,如图8所示Docker映像是内陆Docker映像,这意味着它不是从托管或外手下载的Docker存储库。研究职员在DockerHub中搜索了这个Docker镜像的存在,但没有找到。

图8.docker.container.local.spread.txt的内容

确立Docker容器是为挖矿操作提供主机。如图5所示,创了一个名为mangletmpuser/fcminer的Docker镜像,启动该镜像并导到Chimaera存储库文件setup_xmr.sh,(SHA256:5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904),该文件将使用Docker容器中的开源XMRig应用程序启动Docker加密挖掘历程。

新的门罗币钱包

研究职员发现了一个新的门罗币钱包地址,该地址与门罗币公共矿池pool.supportxmr[.]com:3333相关联,如图9所示。

图9.SupportXMR公共矿池设置

在图10中,此矿池地址显示TeamTNT挖矿操作已网络6.52012192门罗币,涉及8台矿机,此已延续了114天。对于TeamTNT这样的组织来说,这个规模只能算是小型挖矿了。

图10.SupportXMR矿池显示

结论

我们建议在云环境中运行的组织,监控并阻止与TeamTNT的Chimaera存储库以及历史C2端点相关的所有网络毗邻。使用云原生平安平台将显着削减云基础设施的攻击面,并允许组织监控风险。

Unit42研究职员强烈推荐以下提醒,以辅助珍爱云基础架构:

对所有云IAM角色和权限执行最小权限IAM接见计谋。在适用的情形下,对服务帐户使用短期或一次性IAM凭证。

监控并阻止已知恶意端点的网络流量。

只在生产环境中部署经由审查的容器映像。

实现并使用基础设施作为代码(IaC)扫描平台,以防止不平安的云实例部署到生产环境中。

使用支持治理、风险治理和遵从性(GRC)的云基础设施设置扫描工具来识别潜在的危险错误设置。

使用云端点署理来监控和阻止已知恶意应用程序在云基础设施中的运行。

本文翻译自:https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/

FiLecoin官网

FiLecoin官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

Telegram群组索引声明:该文看法仅代表作者自己,与本平台无关。转载请注明:欧博官网(www.allbetgame.us):TeamTNT团伙新动态:将攻击触手延伸到谷歌云
发布评论

分享到:

新「xin」2会员{yuan}网〖wang〗址‘zhi’(www.122381.com):視訊會議不用再刻意梳妝打扮 NVIDIA藉AI把邋遢的你變&#〖〗
3 条回复
  1. 皇冠新现金网
    皇冠新现金网
    (2021-07-29 00:04:19) 1#

    usdt APIwww.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    很棒啊这个

  2. 新2网址
    新2网址
    (2021-08-10 00:02:58) 2#

    皇冠体育APPwww.huangguan.us)是一个开放皇冠代理APP下载、皇冠会员APP下载、皇冠线路APP下载、皇冠登录APP下载的体育平台。皇冠体育APP上最新登录线路、新2皇冠网址更新最快。皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

    先码,再看

  3. 皇冠信用网开户(www.hg108.vip)
    皇冠信用网开户(www.hg108.vip)
    (2022-12-15 00:09:56) 3#

    制作事情准许了何家劲的要求,却骗了他,盲猜好看

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。