TeamTNT dirotta server: la gang criminale specializzata in attacchi agli ambienti cloud è tornata

L’attività di honeypot individuata da uno dei venditori di cybersecurity ha confermato che la gang di cryptojacking TeamTNT è tornata in azione. L’attore di minaccia è stato rilevato per la prima volta all’inizio del 2020, prendendo di mira ambienti cloud. Tuttavia, alla fine del 2021 gli avversari di TeamTNT hanno twittato un messaggio di addio, che sembrava essere vero dal momento che gli attacchi dell’ultimo anno tracciati alla gang erano generati automaticamente.

Gli attacchi più recenti mostrano TTP che possono essere collegati a TeamTNT, suggerendo che l’attore di minaccia sia probabilmente tornato nel panorama delle minacce.

Rilevare Attività di TeamTNT

Utilizzare una nuova release basata su Sigmadi Zaw Min Htun (ZETA) per rilevare un botnet distribuito dagli attori di minaccia TeamTNT:

Possibile Rilevamento dell’Attacco Cronb di TeamTNT (tramite evento file)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch.

La regola è allineata al framework MITRE ATT&CK® v.10, affrontando la tattica Resource Development con Compromise Infrastructure (T1584) come tecnica principale.

Con gli attori di minaccia che migliorano continuamente i loro trucchi, offriamo soluzioni comprovate sul campo per monitorare i rischi potenziali gratuitamente. I cacciatori di minacce, gli ingegneri della rilevazione e altri operatori InfoSec che si sforzano di migliorare la postura di cybersecurity dell’organizzazione possono unirsi alla piattaforma di SOC Prime e raggiungere uno stack di rilevazione completo per una rapida individuazione degli attacchi di TeamTNT. Fare clic sul pulsante Esplora Rilevazioni per accedere al kit di regole dedicato.

Esplora Rilevazioni  

Analisi degli Attacchi di TeamTNT

I ricercatori di sicurezza di Aqua Security sono dietro alle honeypot che hanno attratto gli avversari in questione. I ricercatori hanno documentato i tentativi di intrusione attribuendoli al gruppo TeamTNT nel settembre 2022, indicando un rinnovato attività di TeamTNT. Questa è la prima operazione in quasi un anno da quando la banda di cripto-mining ha chiuso i battenti alla fine dell’autunno 2021.

Aqua Security ha rilevato tre tipi di attacchi recenti. Quello etichettato come “l’attacco del Canguro” è il “più semplice e drammatico” della gang. Gli avversari colpiscono i Daemon Docker vulnerabili, rilasciano l’immagine AlpineOS, scaricano uno script di shell e ottengono il risolutore Bitcoin. Altri due tipi di attacco denominati ‘Cronb’ e ‘What Will Be’ sono stati lanciati per distribuire coin miner e binari Tsunami.

L’anno 2022 è diventato un periodo difficile per i professionisti della sicurezza, con molti attori di minaccia che riappaiono con funzionalità nuove e migliorate, pur facendo affidamento su approcci collaudati nel tempo. Migliora la tua preparazione alla cybersecurity abbracciando il potere della difesa collaborativa unendoti alla nostra comunità globale di cybersecurity su piattaforma Detection as Code di SOC Prime. Approfitta di rilevamenti accurati e tempestivi effettuati da professionisti esperti di tutto il mondo per migliorare le operazioni del tuo team SOC e la postura di sicurezza.