El grupo ciberdelincuente TeamTNT actualizó recientemente su gusano de minería criptográfica con funcionalidad de robo de contraseñas y un escáner de red adicional para facilitar la propagación a otros dispositivos vulnerables.
Si bien es conocido principalmente por apuntar activamente a las instancias de Docker para usar sistemas comprometidos para la minería no autorizada de Monero (XMR), el grupo ahora ha cambiado sus tácticas al actualizar su malware de criptojacking para recopilar también las credenciales de los usuarios.
La botnet de criptominería del grupo fue visto por primera vez en mayo por MalwareHunterTeam e posteriormente revisado por Trend Micro quien descubrió su instalación de Docker dirigida a la afinidad.
En agosto, los investigadores de Cado Security fueron los primeros en detectar la nueva función de robo de credenciales AWS del gusano TeamTNT, lo que lo convierte en el primer malware de criptojacking con esta capacidad.
El mes pasado, Intezer observó a TeamTNT en ataques en los que el grupo desplegó Alcance de la tela herramienta de código abierto para mapear procesos, contenedores y hosts que se ejecutan en servidores comprometidos, así como para tomar el control de las aplicaciones instaladas.
Como descubrieron los investigadores, esto les permitió obtener el control total de la infraestructura en la nube de la víctima, ya que Weave Scope se integra con Docker, Kubernetes, Distributed Cloud Operating System (DC / OS) y AWS Elastic Compute Cloud (ECS).
Combinando todas estas tácticas, técnicas y procedimientos (TTP), TeamTNT utiliza su botnet de servidores comprometidos para buscar entornos en la nube con instalaciones de Kubernetes y Docker con API expuestas con la ayuda de escáneres de red masscan, pnscan y / o zgrab.
Una vez que el malware infecta con éxito un servidor mal configurado, se implementa en nuevos contenedores e instala un binario de carga útil malicioso que inicia la extracción de la criptomoneda Monero (XMR).
Las últimas variantes del gusano de criptojacking Black-T escanearán los sistemas infectados en busca de datos sin cifrar que la AWS CLI utiliza para almacenar credenciales e información de configuración para robar las credenciales de AWS y, como descubrió la Unidad 42, también extraerá memoria para contraseña de texto sin formato utilizando el equivalente de * NIX Mimikatz.