Secuestro de Servidores por TeamTNT: La Banda Criminal Especializada en Atacar Entornos de Nube Está de Vuelta

La actividad del honeypot detectada por uno de los proveedores de ciberseguridad confirmó que la banda de cryptojacking TeamTNT ha vuelto a la carga. El actor de amenazas fue detectado por primera vez a principios de 2020, apuntando a entornos en la nube. Sin embargo, a finales de 2021, los adversarios de TeamTNT tuitearon un mensaje de despedida, que parecía ser cierto ya que los ataques del año pasado que fueron rastreados hasta la banda fueron generados automáticamente.

Los ataques más recientes muestran TTP que pueden vincularse a TeamTNT, lo que sugiere que el actor de amenazas probablemente ha regresado al panorama de amenazas.

Detectar Actividad de TeamTNT

Utilice un nuevo Sigma-basado en el lanzamiento por Zaw Min Htun (ZETA) para detectar un botnet desplegado por actores de amenazas de TeamTNT:

Posible Detección del Ataque Cronb de TeamTNT (mediante evento de archivo)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.

La regla está alineada con el marco MITRE ATT&CK® v.10, abordando la táctica de Desarrollo de Recursos con Compromise Infrastructure (T1584) como la técnica principal.

Con los actores de amenazas mejorando continuamente sus trucos, ofrecemos soluciones comprobadas en el campo para monitorear riesgos potenciales de forma gratuita. Los cazadores de amenazas, ingenieros de detección y otros practicantes de InfoSec que se esfuerzan por mejorar la postura de ciberseguridad de la organización pueden unirse a la plataforma de SOC Prime y alcanzar una pila de detección integral para la detección rápida de ataques de TeamTNT. Haga clic en el botón Explorar Detecciones para obtener acceso al kit de reglas dedicado.

Explorar Detecciones  

Análisis de Ataques de TeamTNT

Investigadores de seguridad de Aqua Security están detrás de los honeypots que atrajeron a los adversarios en cuestión. Los investigadores han documentado los intentos de intrusión, atribuyéndolos al grupo TeamTNT en septiembre de 2022, lo que indica la renovación de la actividad de TeamTNT. Esta es la primera operación en casi un año desde que la banda de criptominería cerró en el otoño de 2021.

Aqua Security ha detectado tres tipos de ataques recientes. El que fue etiquetado como «el ataque Kangaroo» es el «más simple y dramático» de la banda. Los adversarios atacan Daemons Docker vulnerables, dejan caer una imagen de AlpineOS, descargan un script de shell y obtienen el solucionador de Bitcoin. Otros dos tipos de ataques, bautizados «Cronb» y «What Will Be», fueron lanzados para desplegar mineros de monedas y binarios Tsunami.

El año 2022 se convirtió en un momento desafiante para los profesionales de seguridad, con muchos actores de amenazas resurgiendo con características nuevas y mejoradas, pero confiando en enfoques comprobados por el tiempo. Mejore su preparación en ciberseguridad al adoptar el poder de la defensa colaborativa uniéndose a nuestra comunidad global de ciberseguridad en la plataforma SOC Prime’s Detection as Code . Aproveche las detecciones precisas y oportunas realizadas por profesionales experimentados de todo el mundo para mejorar las operaciones y la postura de seguridad de su equipo SOC.