El actor de amenazas conocido como TeamTNT ha estado apuntando a instancias en la nube y entornos en contenedores en sistemas de todo el mundo durante al menos dos años.
Los hallazgos provienen de los investigadores de seguridad de CloudSEK , quienes publicaron un aviso el jueves que detalla una línea de tiempo de los ataques de TeamTNT desde febrero de 2020 hasta julio de 2021.
Según el informe, el perfil de Github del grupo contiene 25 repositorios públicos, la mayoría de los cuales son bifurcaciones de herramientas populares de red teaming y otros repositorios posiblemente utilizados por ellos.
Además, el dominio detectado por CloudSEK y supuestamente asociado con TeamTNT se registró el 10 de febrero de 2020, el mismo período de tiempo en que el equipo comenzó a apuntar activamente a los servidores de Redis.
En estas campañas iniciales, CloudSEK dijo que el objetivo de TeamTNT era el cryptojacking, ya que el grupo desplegó una serie de herramientas que normalmente se usan para estos ataques, incluidos pnscan , Tsunami y xmrigCC, entre otros.
TeamTNT luego, según se informa, comenzó a atacar las instancias de Docker en mayo de 2020, en su mayoría utilizando las mismas herramientas centradas en el criptojacking, pero introduciendo el uso del escáner masivo de puertos TCP junto con imágenes maliciosas de Alpine.
A lo largo de agosto de 2020, el grupo de ciberdelincuentes continuó sus ataques a Docker, pero comenzaron a usar las imágenes de Ubuntu directamente en lugar de Alpine. También implementaron el rootkit Linux Kernel Module (LKM) conocido como Diamorphine para ocultar sus actividades en las máquinas infectadas.
Meses después, comenzaron a explotar Weavescope para solucionar problemas y aprovecharlo como puerta trasera, y en enero de 2021, un informe de Lacework Labs sugirió que TeamTNT estaba usando tres nuevas herramientas de hacking dirigidas a Kubernetes: Peirates, Botb y libprocesshider.
Según los informes, en la segunda mitad de 2021, la lista de objetivos del grupo siguió siendo la misma, pero ampliaron sus capacidades de robo de credenciales a servicios y aplicaciones adicionales, incluidos AWS, Filezilla y GitHub, entre otros. En julio, TeamTNT lanzó una campaña llamada ‘Chimaera’, lo que sugiere que el grupo continuó con sus ataques a los servicios Docker, Kubernetes y Weavescope.
Al momento de escribir este artículo, el dominio asociado con TeamTNT ahora está fuera de línea, pero el aviso de CloudSEK sugirió que algunas capturas de pantalla del dominio todavía están disponibles en Wayback Machine.
Los investigadores de seguridad sugirieron que el grupo probablemente se originó en Alemania porque la mayoría de los tweets y guiones de bash (incluidos los comentarios) están en alemán, y la ubicación de la cuenta está establecida en ‘Deutschland’.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad