Los investigadores de seguridad de AT&T Alien Labs descubrieron que el grupo de ciberdelincuentes TeamTNT actualizó su cripto minería Linux con capacidades de evasión de detección de código abierto.
TeamTNT es mejor conocido por apuntar y comprometer instancias de Docker expuestas a Internet para la minería no autorizada de Monero (XMR).
Sin embargo, el grupo también cambió de táctica al actualizar su malware de criptojacking de Linux llamado Black-T para recopilar también las credenciales de usuario de los servidores infectados.
TeamTNT ahora ha actualizado aún más su malware para evadir la detección después de infectar y distribuir cargas útiles de coinminer maliciosas en dispositivos Linux.
Ocultar a plena vista
“El grupo está utilizando una nueva herramienta de evasión de detección, copiada de un repositorio de código abierto”, Dice Ofer Caspi, investigador de seguridad de AT&T Alien Labs en un informe publicado hoy.
Esta herramienta se conoce como libprocesshider y es una herramienta de código abierto disponible en Github que se puede utilizar para ocultar cualquier proceso de Linux con la ayuda del precargador de ld.
“El objetivo de la nueva herramienta es ocultar el proceso malicioso de los programas de información del proceso como` ps` y` lsof`, actuando de manera efectiva como una técnica de evasión de defensa “, agregó Caspi.
La herramienta de detección de evasión se implementa en sistemas infectados como un script bash codificado en base64 incrustado en el binario ircbot o cryptominer de TeamTNT.
Una vez que el script se inicia en una máquina comprometida, realizará una serie de actividades que le permitirán:
- Cambie la configuración de DNS de la red.
- Establezca la persistencia a través de systemd.
- Libera y activa la nueva herramienta como servicio.
- Descargue la última configuración del bot IRC.
- Evidencia clara de actividad para complicar las acciones potenciales del defensor.
Después de realizar todos los pasos, el malware Black-T también borrará automáticamente todos los rastros de actividad maliciosa al eliminar el historial de ataques del sistema.
“Mediante el uso de libprocesshider, TeamTNT está expandiendo una vez más sus capacidades basándose en las herramientas de código abierto disponibles”, concluyó Caspi.
“Si bien la nueva característica de libprocesshider es evadir la detección y otras funciones básicas, sirve como un marcador a considerar cuando se busca actividad maliciosa en el nivel del host”.
Actualizaciones de botnet
La botnet de criptominería fue avistado por primera vez en mayo de 2020 por MalwareHunterTeam e posteriormente analizado por Trend Micro quien descubrió su afinidad por apuntar a Docker.
Después de que el malware infecta un servidor mal configurado, se implementará en nuevos contenedores y lanzará un binario de carga útil malicioso que inicia la extracción de la criptomoneda Monero (XMR).
En agosto, Cado Security identificó la nueva función de recopilación de credenciales de AWS del gusano TeamTNT, lo que la convierte en la primera botnet de criptojacking con esta capacidad.
Un mes después, Intezer observó el malware mientras implementaba la herramienta legítima de código abierto Weave Scope para tomar el control de la infraestructura en la nube de Docker, Kubernetes, el sistema operativo distribuido en la nube (DC / OS) o AWS Elastic Compute Cloud (ECS) de las víctimas. .
A principios de este mes, TeamTNT comenzó a usar código abierto Ezurcrypters y el cargador de memoria para hacer que su malware sea virtualmente indetectable por los productos antivirus.
/ Vía: diarioinforme.com-