Die Sicherheitsforscher von Unit 42, dem Threat Intelligence Team von Palo Alto Networks, haben Black-T identifiziert, eine neue Variante von Cryptojacking-Malware der Gruppe TeamTnT. Die Experten haben dabei mehrere deutsche Phrasen entdeckt, die in mehrere TeamTnT-Scripts, einschließlich Black-T, eingefügt wurden. Die allererste Zeile nach einem ASCII-Art-Banner innerhalb des Scripts lautet: „verbose mode ist nur für euch ;) damit ihr was zum gucken habt in der sandbox :-*“ Es gab zudem mehrere andere Fälle, in denen deutsche Phrasen in TeamTnT-Scripts verwendet wurden.
TeamTnT ist dafür bekannt, dass die Akteure auf AWS-Zugangsdatendateien auf kompromittierten Cloud-Systemen abzielen und für Monero (XMR) arbeiten. Black-T folgt den traditionellen Taktiken, -Techniken und -Prozeduren (TTPs) von TeamTnT. Die Gruppe nimmt exponierte Docker-Daemon-APIs ins Visier und führt Scan- und Cryptojacking-Vorgänge auf anfälligen Systemen betroffener Unternehmen durch.
Der Code innerhalb der Black-T-Malware-Probe deutet jedoch auf eine Verschiebung der TTPs bei den TeamTnT-Operationen hin. Hier ist vor allem die Ausrichtung auf bisher unbekannte Cryptojacking-Würmer (Crux-Wurm, ntpd-Miner und ein Redis-Backup-Miner) hervorzuheben. Darüber hinaus hat TeamTnT die Verwendung von Memory-Passwort-Scraping-Operationen über mimipy und mimipenguins implementiert, als äquivalente NIX-Tools zu der häufig verwendeten Windows-spezifischen Speicher-Passwort-Scraping-Funktionalität von Mimikatz. Mimikatz ist ein Tool, das in der Lage ist, Klartext-Passwörter von Windows-Betriebssystemen zu scrappen sowie Pass-the-Hash- und Pass-the-Token-Operationen durchzuführen, die es Angreifern ermöglichen, Benutzersitzungen zu kapern. Alle identifizierten Passwörter, die durch mimipenguins erfasst wurden, werden dann zu einem Command-and-Control (C2)-Node von TeamTnT exfiltriert. Dies ist das erste Mal, dass TeamTnT-Akteure dabei beobachtet wurden, wie sie diese Art von Post-Exploitation-Operationen in ihre TTPs eingebaut haben.
Das Black-T-Tool ist auch in der Lage, drei verschiedene Netzwerk-Scanning-Tools zu verwenden. So gelingt es, zusätzliche exponierte Docker-Daemon-APIs innerhalb des lokalen Netzwerks des kompromittierten Systems und über eine beliebige Anzahl von öffentlich zugänglichen Netzwerken hinweg zu identifizieren, um die Cryptojacking-Operationen auszuweiten. Sowohl masscan und pnscan wurden bereits früher von TeamTnT-Akteuren verwendet. Mit dem Hinzufügen von zgrab, einem GoLang-Netzwerk-Scanner, wurde jedoch zum ersten Mal ein GoLang-Tool in die TTPs von TeamTnT integriert. Es gab auch eine Aktualisierung der Masscan-Netzwerk-Scanner-Operation, die die Suche nach dem TCP-Port 5555 einschließt. Obwohl der genaue Zweck des Hinzufügens von Port 5555 zum Scanner unbekannt ist, gibt es dokumentierte Fälle, in denen XMR-Cryptojacking auf Android-basierten Geräten auftritt. Dies könnte auf ein neues unbekanntes Ziel hindeuten, das für die Erweiterung von TeamTnT-Cryptojacking-Operationen festgelegt wurde. Es gibt jedoch kaum Belege dafür, dass TeamTnT auf Android-Geräte abzielt.
Palo Alto Networks Prisma Cloud kann Unternehmen bei der Absicherung von Cloud-Bereitstellungen gegen die von TeamTnT ausgehenden Bedrohungen unterstützen. Prisma Cloud liefert eine Anleitung, um Schwachstellen oder Fehlkonfigurationen in den Einstellungen der Cloud-Umgebung und in Infrastructure-as-Code (IaC-)-Templates vor der Bereitstellung von Produktionssystemen besser zu erkennen. Darüber hinaus können durch die Installation der neuesten Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks Netzwerkverbindungen zu bekannten öffentlichen XMR-Mining-Pools oder zu bösartigen Domains und IPs verhindert werden, bevor die Umgebung kompromittiert wird.
Um Cloud-Systeme vor der Black-T-Kryptojacking-Malware von TeamTnT zu schützen, sollten Unternehmen diese Maßnahmen durchführen: Cloud-Umgebungen sollten erstens keine Docker-Daemon-APIs oder andere Netzwerkdienste exponieren, die versehentlich sensible interne Netzwerkdienste preisgeben. Nutzen Sie zweitens Prisma Cloud von Palo Alto Networks, um Cloud-Implementierungen zu schützen. Und schließlich Installation der neuen Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks.
Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…