Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for TeamTNT

TeamTNT

Peretas TeamTNT Menargetkan Server Docker Yang Tidak Dikonfigurasi Dengan Baik

by

Server Docker yang dikonfigurasi dengan buruk sedang aktif ditargetkan oleh grup peretasan TeamTNT dalam kampanye yang sedang berlangsung dimulai dari bulan lalu.

Menurut sebuah laporan oleh para peneliti di TrendMicro, para aktor memiliki tiga tujuan berbeda: untuk menginstal cryptominers Monero, memindai instance Docker yang rentan terhadap Internet, dan melakukan pelarian container-to-host untuk mengakses jaringan utama.

Seperti yang diilustrasikan dalam alur kerja serangan, serangan dimulai dengan membuat wadah pada host yang rentan menggunakan Docker REST API yang terbuka.

Alamat IP yang digunakan untuk infrastruktur TeamTNT saat ini (45[.]9[.]148[.]182) telah dikaitkan dengan beberapa domain yang melayani malware di masa lalu.

TrendMicro melaporkan bahwa kampanye ini juga menggunakan akun Docker Hub yang disusupi yang dikendalikan oleh TeamTNT untuk menghapus gambar Docker yang berbahaya.

Menggunakan akun Docker Hub yang disusupi membuat titik distribusi lebih andal bagi para aktor, karena lebih sulit untuk dipetakan, dilaporkan, dan dihapus.

TeamTNT adalah aktor canggih yang terus-menerus mengembangkan tekniknya, mengubah fokus penargetan jangka pendek tetapi tetap menjadi ancaman konstan bagi sistem Docker yang rentan.

Mereka pertama kali membuat worm untuk mengeksploitasi Docker dan Kubernetes secara massal pada Agustus 2020.

Selengkapnya: Bleeping Computer

TeamTNT Cloaks Malware Dengan Open-Source Tool

by

Alat penghindaran deteksi, libprocesshider, menyembunyikan malware TeamTNT dari program informasi proses.

Grup ancaman TeamTNT telah menambahkan alat penghindaran deteksi baru ke gudang senjatanya, membantu perangkat lunak perusak cryptomining oleh tim pertahanan.

Grup kejahatan dunia maya TeamTNT dikenal karena serangan berbasis cloud, termasuk menargetkan kredensial Amazon Web Services (AWS) untuk masuk ke cloud dan menggunakannya untuk menambang cryptocurrency Monero. Ini juga sebelumnya menargetkan instance cloud Docker dan Kubernetes.

Alat penghindaran deteksi baru, libprocesshider, disalin dari repositori sumber terbuka. Open-Source Tool, dari tahun 2014 telah ditempatkan di Github, dan dideskripsikan memiliki kemampuan untuk “menyembunyikan proses di Linux menggunakan prapemuat ld.”

Alat baru ini dikirimkan dalam skrip base64-encoded, tersembunyi di biner cryptominer TeamTNT, atau melalui bot Internet Relay Chat (IRC), yang disebut TNTbotinger, yang mampu melakukan serangan distributed denial of service (DDoS).

Dari waktu ke waktu, TeamTNT terlihat menyebarkan berbagai pembaruan pada malware cryptomining, termasuk pemuat memori baru yang ditemukan beberapa minggu yang lalu, yang didasarkan pada Ezuri dan ditulis dalam GOlang.

Pada bulan Agustus, worm cryptomining TeamTNT ditemukan menyebar melalui cloud AWS dan mengumpulkan kredensial. Kemudian, setelah jeda, grup TeamTNT kembali pada bulan September untuk menyerang instance cloud Docker dan Kubernetes dengan menyalahgunakan alat pemantauan cloud yang sah yang disebut Weave Scope.

selengkapnya :ThreatPost

Penulis malware Linux menggunakan crypter Ezuri Golang agar tidak terdeteksi

by

Beberapa pembuat malware menggunakan crypter “Ezuri” dan loader memori untuk membuat kode mereka tidak terdeteksi oleh produk antivirus.

Menurut laporan yang dirilis oleh AT&T Alien Labs, beberapa pelaku ancaman menggunakan Ezuri crypter untuk mengemas malware mereka dan menghindari deteksi antivirus.

Meskipun malware Windows telah diketahui menyebarkan taktik serupa, pelaku ancaman sekarang menggunakan Ezuri untuk menyusup ke lingkungan Linux juga.

Ditulis dalam Go, Ezuri bertindak sebagai crypter dan loader untuk binari ELF (Linux). Menggunakan AES, Ezuri mengenkripsi kode malware dan, pada dekripsi, mengeksekusi muatan berbahaya secara langsung di dalam memori tanpa menghasilkan file apa pun di disk.

Sampel malware yang biasanya terdeteksi oleh sekitar 50% mesin antivirus di VirusTotal, menghasilkan 0 deteksi saat dienkripsi dengan Ezuri, pada saat penelitian AT&T.

Bahkan saat ini, seperti yang diamati oleh BleepingComputer, sampel yang dikemas dalam Ezuri memiliki tingkat deteksi kurang dari 5% pada VirusTotal.

Selama beberapa bulan terakhir, Caspi dan Martinez mengidentifikasi beberapa pembuat malware yang mengemas sampel mereka dengan Ezuri.

Ini termasuk grup kejahatan siber, TeamTnT, yang aktif setidaknya sejak April 2020.

Sumber: Bleeping Computer

Black-T Malware Muncul Dari Cryptojacker Group TeamTNT

by

Para peneliti telah menemukan langkah awal malware cryptojacking terbaru dari TeamTNT, yang disebut Black-T. Varian ini dibangun di atas pendekatan khas grup, dengan beberapa tambahan baru – dan canggih.

TeamTNT dikenal dengan penargetan kredensial Amazon Web Services (AWS), untuk membobol cloud dan menggunakannya untuk menambang cryptocurrency Monero.

Namun menurut para peneliti dari Palo Alto Network’s Unit 42, menggunakan Black-T, kelompok tersebut telah menambahkan kemampuan tambahan pada taktik, teknik dan prosedur (TTP). Ini termasuk penambahan pemindai jaringan yang canggih; penargetan alat penambangan XMR pesaing di jaringan; dan penggunaan pengikis kata sandi.

Apa yang akan dilakukan TeamTNT dengan kata sandi yang disimpan dan kemampuan tambahan masih belum jelas, tetapi perkembangan menandakan bahwa grup tidak berencana untuk melambat dalam waktu dekat.

Setelah diterapkan, urutan bisnis pertama untuk Black-T adalah menonaktifkan malware lain yang bersaing untuk mendapatkan kekuatan pemrosesan, termasuk Kinsing, Kswapd0, ntpd miner, redis-backup miner, auditd miner, Migration miner, the Crux worm dan Crux worm miner.

Ironisnya, fakta bahwa TeamTNT mengidentifikasi pesaing ini dalam malware mereka memberi para profesional keamanan peringatan kritis untuk mewaspadai potensi ancaman dari kelompok-kelompok ini, kata Unit 42.

Setelah menghilangkan pesaing mereka, Black-T menginstal masscan, libpcap untuk mendengarkan berbagai sumber daya di jaringan, termasuk pnscan, zgrab, Docker dan jq.

Berikutnya, Black-T mengambil berbagai download: Beta untuk membuat direktori baru; alat pengikis sandi mimipy dan mimipenquin; dan perangkat lunak penambangan XMR yang disebut bd.

Karena pekerjaan jarak jauh dan penghematan biaya terus mendorong komputasi ke cloud, lebih banyak grup seperti TeamTNT pasti akan muncul dan siap untuk memanfaatkan, menurut Quist.

Baca berita selengkapnya pada tautan di bawah ini;
Source: The Threat Post

Weave Scope dieksploitasi dalam serangan terhadap lingkungan cloud

by

TeamTNT telah menambahkan perangkat lunak Weave Scope yang sah ke perangkat serangannya dalam upaya menyusup ke lingkungan cloud.

Menurut penelitian baru yang diterbitkan oleh perusahaan keamanan siber Intezer dan Microsoft minggu ini, ini mungkin pertama kalinya Weave Scope disertakan dalam serangan berbasis cloud.

TeamTNT sebelumnya telah dikaitkan ke serangan terhadap instalasi Docker dan Kubernetes. Bulan lalu, pelaku ancaman juga memiliki kaitan dengan botnet penambangan cryptocurrency yang mampu mencuri kredensial AWS dari server. Grup ini juga diketahui mengunggah image Docker yang berbahaya ke Docker Hub.

Microsoft mengatakan bahwa image berbahaya yang terlihat pada pertengahan Agustus disebarkan dari repositori yang tidak terlihat dalam serangan sebelumnya. Satu image Docker, khususnya, pause-amd64: 3.3, terhubung ke server yang berbasis di Jerman yang berisi skrip berbahaya dan alat tambahan yang digunakan oleh grup.

Weave Works ‘Weave Scope adalah perangkat lunak visualisasi dan pemantauan sumber terbuka untuk Docker, Kubernetes, Sistem Operasi Cloud Terdistribusi (DC / OS), dan AWS Elastic Compute Cloud (ECS), yang memungkinkan pengguna untuk menonton proses yang sedang berjalan dan koneksi jaringan kontainer di lingkungan cloud melalui antarmuka khusus. Perangkat lunak ini juga mengizinkan administrator untuk menjalankan shell dalam cluster sebagai root, dan tidak memerlukan autentikasi secara default.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet