Nhóm tin tặc TeamTNT xâm nhập hàng nghìn thiết bị bằng công cụ mã nguồn mở

13:45 | 25/09/2021

Nhóm nghiên cứu bảo mật của AT&T Alien Labs gần đây đã phát hành một báo cáo chi tiết về một chiến dịch mới với tên gọi Chimaera, được phát động bởi nhóm tin tặc TeamTNT, dựa trên các bản ghi nhật ký của máy chủ C&C. Các nhà nghiên cứu cho biết, chiến dịch được bắt đầu từ ngày 25/7, các công cụ được sử dụng bởi nhóm tin tặc đều là mã nguồn mở.

Hoạt động của nhóm TeamTNT lần đầu tiên được phát hiện vào năm 2020 với việc cài đặt phần mềm độc hại khai thác tiền điện tử trên các cùng chứa Docker tồn tại lỗ hổng. Các nhà nghiên cứu bảo mật tới từ Trend Micro và Cado Security phát hiện ra các hành động của nhóm như việc đánh cắp thông tin đăng nhập AWS để lây nhiễm nhiều máy chủ hay việc nhắm mục tiêu các cài đặt Kubernetes.

Theo quan sát của Alien Labs, TeamTNT đang nhắm mục tiêu tới Windows, AWS, Docker, Kubernetes, các bản phân phối Linux như Alpine. Hiện tại hàng nghìn thiết bị đã bị xâm nhập thông qua chiến dịch Chimaera của nhóm tin tặc.

Nhóm tin tặc này chủ yếu sử dụng các công cụ mã nguồn mở trong chiến dịch của mình như công cụ dò quét cổng Masscan, phần mềm libprocesshider để thực thi TeamTNT bot từ bộ nhớ, công cụ 7z để giải nén tệp, webshell b374k để kiểm soát hệ thống, công cụ Lazagne để thu thập thông tin đăng nhập.

Palo Alto Networks xác định nhóm đang sử dụng Peirates, một bộ công cụ kiểm thử thâm nhập đám mây để nhắm mục tiêu các ứng dụng dựa trên đám mây. Công ty cho biết: "Việc sử dụng các công cụ mã nguồn mở như Lazagne cho phép TeamTNT không bị phát hiện trong một khoảng thời gian, khiến các công ty chống virus khó phát hiện hơn".

Mặc dù có khá nhiều công cụ để tấn công hệ điều hành nhưng mục tiêu của nhóm TeamTNT là khai thác tiền điện tử. Alien Labs cho biết, có rất ít phần mềm diệt virus phát hiện ra phần mềm độc hại này được sử dụng bởi nhóm tin tặc nói trên.