idNSA.id - Kelompok peretasan TeamTNT yang bermotivasi finansial memperluas persenjataannya dengan alat-alat baru yang digunakan untuk menargetkan ribuan korban di seluruh dunia.
Peneliti dari AT&T Alien Labs menemukan kampanye baru, yang dilacak sebagai Chimaera, yang dilakukan oleh grup TeamTNT, yang ditujukan untuk organisasi di seluruh dunia.
Bukti yang dikumpulkan oleh para ahli menunjukkan bahwa kampanye dimulai pada 25 Juli 2021, pelaku ancaman menggunakan seperangkat besar tools open-source dalam serangan tersebut. Pelaku ancaman memanfaatkan tools open-source untuk menghindari deteksi dan mempersulit atribusi serangan.
Botnet TeamTNT adalah operasi malware penambangan kripto yang telah aktif sejak April 2020 dan menargetkan pemasangan Docker. Aktivitas grup TeamTNT telah dirinci oleh firma keamanan Trend Micro, tetapi pada Agustus 2020 para ahli dari Cado Security menemukan bahwa botnet juga dapat menargetkan instalasi Kubernetes yang salah konfigurasi.
Pada Januari 2021, geng kejahatan dunia maya meluncurkan kampanye baru yang menargetkan lingkungan Kubernetes dengan malware Hildegard .
Kampanye Chimaera menargetkan beberapa sistem operasi ( Windows, distribusi Linux yang berbeda termasuk Alpine (digunakan untuk container), AWS, Docker, dan Kubernetes) dan aplikasi, aktor ancaman menggunakan serangkaian besar skrip shell/batch, alat open-source baru, penambang cryptocurrency, bot TeamTNT IRC, dan banyak lagi.
Kampanye ini sangat berbahaya dan pada 30 Agustus 2021, banyak sampel malware yang digunakan oleh penyerang masih memiliki tingkat deteksi nol dari perangkat lunak AV. Kampanye ini bertanggung jawab atas ribuan infeksi secara global hanya dalam beberapa bulan.
Sebagian daftar alat yang digunakan oleh grup meliputi:
· Masscan dan pemindai port untuk mencari kandidat infeksi baru
· libprocesshider untuk mengeksekusi bot mereka langsung dari memori
· 7z untuk mendekompresi file yang diunduh
· shell b374k yang merupakan administrator web php yang dapat digunakan untuk mengontrol sistem yang terinfeksi
· Lazagne, alat sumber terbuka untuk beberapa sistem operasi web, yang digunakan untuk mengumpulkan kredensial yang disimpan dari berbagai aplikasi.
Peneliti dari Palo Alto Networks, yang menganalisis kampanye yang sama, melaporkan bahwa grup tersebut juga menggunakan perangkat pengujian penetrasi cloud untuk menargetkan aplikasi berbasis cloud yang diberi nama Peirates.
Para ahli menunjukkan bahwa bahkan jika grup tersebut memperluas persenjataannya dengan menambahkan kemampuan baru, mereka masih berfokus pada penambangan cryptocurrency.
“AT&T Alien Labs telah menemukan file berbahaya baru yang didistribusikan oleh aktor ancaman TeamTNT. Seperti yang telah diamati oleh penelitian TeamTNT dalam kampanye yang lebih lama, mereka berfokus pada mencuri kredensial sistem cloud, menggunakan sistem yang terinfeksi untuk penambangan cryptocurrency, dan menyalahgunakan mesin korban untuk mencari dan menyebar ke sistem rentan lainnya.
Membaca analisis yang diterbitkan oleh AT&T. “Penggunaan alat sumber terbuka seperti Lazagne memungkinkan TeamTNT untuk tetap berada di bawah radar untuk sementara waktu, sehingga lebih sulit bagi perusahaan anti-virus untuk dideteksi.”
