去年 2 月 25 日,上传到 VirusTotal 的一个新文件与已解散且臭名昭著的威胁组织 TeamTNT 有关。这一发现让研究人员开始质疑 TeamTNT 背后的操纵者是否正在重新集结,或者这个样本仅仅是敌方的痕迹。
TeamTNT 最著名的攻击目标是亚马逊网络服务AWS云环境。该组织在 2021 年 11 月 17 日通过一条 推文 宣布“退出这一圈子”。
根据 Cado Security 的研究人员,二月份上传到 VirusTotal 的文件表现出了与 TeamTNT 类似的战术、技术和程序TTPs。
在一篇 周四的博客文章 中,Cado 报告称,他们在 VirusTotal 上发现的文件包含一个以前归属 TeamTNT 的加密货币钱包 ID。这是 Cado 自 2020 年以来一直在追踪的团体,TeamTNT 当时因首个盗取 AWS 凭据的加密挖矿蠕虫而声名鹊起。
Cado Security 的威胁情报研究员 Matt Muir 向 SC Media 解释说,最近上传至 VirusTotal 的恶意软件样本表现出与 TeamTNT 分发的恶意软件相似的行为。Muir 表示,该样本具有自定义的进程隐藏功能,这意味着它可以模糊应用程序的进程,从而让管理员无法发现恶意软件。“他们还使用了 TeamTNT 此前常用的假用户名,例如 Hildegard@TNT,”Muir 说。
Muir 还提到,Cado 的研究团队是在阅读一篇描述 SCARLETEEL 活动的 Sysdig 博客 后发现这一恶意软件的。这是一场复杂的云攻击,导致了专有数据的盗窃。根据 Sysdig 博客,攻击者利用了容器化工作负载,并利用它进行权限提升,进入 AWS 账户以窃取专有软件和凭据。这次攻击源于一个被攻陷的 Kubernetes 容器,并传播到了受害者的 AWS 账户。
Muir 表示,在了解 Sysdig 描述的 AWS 攻击细节后,Cado 的威胁研究人员对报告发布时上传的文件进行了 VirusTotal 的审查。这时他们找到了与安全研究人员先前与 TeamTNT 关联的 TTPs 相关的文件。
“我们研究了这次攻击,了解到其运作方式,”Muir 说。“然后我们利用 Sysdig 发布的信息寻找与他们报告的特征相匹配的文件。”
根据 Cado 的博客,新的基础设施,表现为一个之前未归属的 C2 域,暗示 Muir 和他的团队发现的样本可能是一个新活动的一部分。然而,针对这个域的被动 DNS 结果显示,它最后的更新是在 2021 年 5 月 2 日。Cado 认为,这“更有可能”是一个从未被报道的旧样本。
tk加速器免费“无论如何,能够挖掘到一个威胁组织的以前未发现的有效载荷,是件非常有趣的事情,”Cado 的博客说道。“在没有更多信息的情况下,无法将本文分析的样本与 Sysdig 报告的攻击确切关联,但这些文件恰好在相同时间被发现,确实很有趣。”
