Détournement de Serveurs par TeamTNT : Le Gang Criminel Spécialisé dans l’Attaque des Environnements Cloud est de Retour

L’activité de honeypot repérée par l’un des fournisseurs de cybersécurité a confirmé que le gang de cryptojacking TeamTNT est de retour en chasse. L’acteur de la menace a été détecté pour la première fois début 2020, ciblant les environnements cloud. Cependant, fin 2021, les adversaires de TeamTNT ont tweeté un message d’adieu, qui semblait vrai puisque les attaques de l’année dernière attribuées au gang étaient générées automatiquement.

Les attaques les plus récentes montrent des TTP qui peuvent être liées à TeamTNT, suggérant que l’acteur de la menace est probablement de retour dans le paysage des menaces.

Détecter l’activité de TeamTNT

Utiliser une nouvelle sortie basée sur Sigma– par Zaw Min Htun (ZETA) pour détecter un botnet déployé par les acteurs de la menace TeamTNT :

Possibilité de détection de l’attaque Cronb de TeamTNT (via un événement de fichier)

Cette détection dispose de traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.

La règle est alignée avec le cadre MITRE ATT&CK® v.10, abordant la tactique de développement des ressources avec Infrastructure compromise (T1584) comme technique principale.

Avec des acteurs de la menace améliorant continuellement leurs astuces, nous offrons des solutions éprouvées sur le terrain pour surveiller les risques potentiels gratuitement. Les chasseurs de menaces, ingénieurs de détection, et autres praticiens de la sécurité de l’information cherchant à améliorer la posture de cybersécurité de l’organisation peuvent rejoindre la plateforme SOC Prime et accéder à un ensemble de détections complet pour une détection rapide des attaques TeamTNT. Cliquez sur le bouton Explorez les Détections pour obtenir l’accès au kit de règles dédié.

Explorez les Détections  

Analyse des Attaques de TeamTNT

Les chercheurs en sécurité de Aqua Security sont derrière les honeypots qui ont attiré les adversaires en question. Les chercheurs ont documenté les tentatives d’intrusion en les attribuant au groupe TeamTNT en septembre 2022, signifiant le renouveau de l’activité de TeamTNT. C’est la première opération depuis presque un an que le gang de cryptomining a fermé boutique à la fin de l’automne 2021.

Aqua Security a détecté trois types d’attaques récentes. Celle étiquetée “l’attaque Kangaroo” est la “plus simple et la plus dramatique” du gang. Les adversaires frappent les Daemons Docker vulnérables, déposent une image AlpineOS, téléchargent un script shell et obtiennent le solveur Bitcoin. Deux autres types d’attaques, baptisées “Cronb” et “What Will Be”, ont été lancées pour déployer des mineurs de pièces et des binaires Tsunami.

L’année 2022 est devenue une période de défis pour les professionnels de la sécurité, avec de nombreux acteurs de la menace refaisant surface avec des fonctionnalités nouvelles et améliorées tout en s’appuyant sur des approches éprouvées. Améliorez votre préparation à la cybersécurité en embrassant le pouvoir de la défense collaborative en rejoignant notre communauté mondiale de cybersécurité sur la plateforme SOC Prime’s Detection as Code . Profitez des détections précises et opportunes faites par des professionnels expérimentés du monde entier pour renforcer les opérations de votre équipe SOC et la posture de sécurité.