Organisasi Penargetan TeamTNT Melalui Cryptojacking Malware

  • Whatsapp
Organisasi Penargetan TeamTNT Melalui Cryptojacking Malware

 

Bacaan Lainnya

Geng penjahat dunia maya yang dikenal sebagai TeamTNT telah meningkatkan operasi cryptojacking yang berfokus pada cloud untuk beberapa waktu sekarang. Operasi TeamTNT telah menargetkan kluster Kubernetes karena penggunaannya yang luas dan merupakan target yang menarik bagi pelaku ancaman yang berjalan terutama di lingkungan cloud dengan akses ke sumber daya yang hampir tak terbatas.

Penyerang juga telah merancang malware baru yang disebut Black-T yang menyatukan alat cloud-native open-source untuk membantu operasi cryptojacking mereka. Setelah mendapatkan pijakan ke dalam kluster Kubernetes, malware berusaha menyebarkan sebanyak mungkin kontainer, yang mengarah ke aktivitas jahat.

Peneliti Unit 42 Palo Alto telah menemukan dan mengkonfirmasi hampir 50.000 IP yang dikompromikan oleh kampanye jahat yang dilakukan oleh TeamTNT di beberapa cluster. Beberapa IP berulang kali dieksploitasi selama jangka waktu episode, yang terjadi antara bulan Maret dan Mei. Sebagian besar node yang disusupi berasal dari China dan AS — diidentifikasi dalam daftar ISP (Penyedia Layanan Internet), yang memiliki penyedia yang berbasis di China dan AS sebagai hit tertinggi, termasuk beberapa CSP (Penyedia Layanan Cloud)

TeamTNT telah mengumpulkan 6.52012192 koin Monero melalui kampanye cryptojacking, yang setara dengan USD 1.788. Operasi penambangan ditemukan beroperasi pada kecepatan rata-rata 77,7 KH/s di delapan pekerja tambang. Operasi menggunakan alamat dompet Monero ini telah berlangsung selama 114 hari dan masih beroperasi.

Para peneliti mengatakan kampanye baru TeamTNT adalah malware paling canggih yang pernah dilihat Unit 42 dari geng ini. Mereka mengatakan pada babak ini aktor ancaman mengembangkan taktik yang lebih canggih untuk akses awal, eksekusi, penghindaran pertahanan, dan komando dan kontrol. Meskipun malware masih dalam pengembangan dan kampanye belum menyebar luas, Unit 42 yakin penyerang akan segera meningkatkan alat dan memulai penyebaran skala besar.

Tim TNT telah mencuri kredensial 16 aplikasi, termasuk kredensial AWS dan Google Cloud, yang dapat disimpan di instans cloud yang disusupi jika diunduh. Kehadiran kredensial Google Cloud yang ditargetkan untuk koleksi mewakili instance pertama yang diketahui dari grup penyerang yang menargetkan kredensial IAM pada instance cloud yang disusupi di luar AWS.

Para peneliti percaya bahwa kredensial Microsoft Azure, Alibaba Cloud, Oracle Cloud, atau IBM Cloud IAM dapat ditargetkan menggunakan metode serupa. Peneliti Unit 42 belum menemukan bukti kredensial dari penyedia layanan cloud (CSP) ini yang menjadi sasaran. TeamTNT pertama kali mulai mengumpulkan kredensial AWS pada instans cloud yang telah mereka kompromikan pada awal Agustus 2020.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *