TeamTNT サーバー乗っ取り: クラウド環境への攻撃を専門とする犯罪グループが復活

サイバーセキュリティのベンダーの一つによって検知されたハニーポット活動により、暗号通貨不正マイニング「TeamTNT」ギャングが再び活動を開始したことが確認されました。この脅威アクターは2020年初頭に初めて検出され、クラウド環境を標的にしていました。しかし、2021年後半にはTeamTNTの敵対者が別れのメッセージをツイートし、それが真実であるかのように見えました。というのも、過去1年間にこのギャングに追跡された攻撃は自動生成されたものだったからです。

最近の攻撃は、TeamTNTに関連付けられるTTP（戦術、技術、手順）を示しており、この脅威アクターが再び脅威の領域に戻ってきた可能性を示唆しています。

TeamTNTの活動を検出

新しい Sigmaベースのリリースを Zaw Min Htun（ZETA） が、TeamTNT脅威アクターによって展開されたボットネットを検出するために利用してください。

TeamTNTのCronb攻撃の可能性のある検出（ファイルイベント経由）

この検出は、以下のSIEM、EDR & XDRプラットフォームに対応しています：Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、SentinelOne、Graylog、Regex Grep、CrowdStrike、Microsoft PowerShell、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Snowflake、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearch。

このルールは MITRE ATT&CK®フレームワーク v.10に整合しており、リソース開発戦術における主な手法としてインフラ妥協（T1584）を対処します。

脅威アクターがその手口を絶えず改良している中、我々は潜在的なリスクを無料で監視する実証済みのソリューションを提供します。脅威ハンター、検出エンジニア、およびその他の情報セキュリティの実務家は、組織のサイバーセキュリティ体制を改善しようと努めており、SOC Primeのプラットフォームに参加して、迅速なTeamTNT攻撃の検出のための包括的な検出スタックにアクセスできます。「 Explore Detections 」ボタンをクリックして専用のルールキットにアクセスしてください。

Explore Detections  

TeamTNT攻撃の分析

セキュリティ研究者は Aqua Security が、問題の敵対者を誘い込んだハニーポットの背後にいます。研究者たちは、これらの侵入試行がTeamTNTグループによるものであることを2022年9月に文書化し、TeamTNTの活動再開を示しています。これは、2021年後半にこの暗号通貨マイニングギャングが活動を停止して以来、ほぼ1年ぶりの作戦です。

Aqua Securityは最近の攻撃の3つのタイプを検出しました。その中の一つ、「カンガルー攻撃」と名付けられたものが、ギャングの「最もシンプルで最も劇的な」攻撃です。敵対者は脆弱なDocker Daemonを攻撃し、AlpineOSイメージをドロップし、シェルスクリプトをダウンロードし、ビットコインソルバーを取得します。他の2つのタイプの攻撃、特に「Cronb」と「What Will Be」と名付けられたものは、コインマイナーとTsunamiバイナリを展開するために開始されました。

2022年は、セキュリティの専門家にとって挑戦の年となり、多くの脅威アクターが新しい機能と改良された手法を持ち込みつつ、従来のアプローチに依存して再浮上しました。協力的な防御の力を活用することでサイバーセキュリティの準備を強化し、我々のグローバルなサイバーセキュリティコミュニティに参加してください。 SOC PrimeのDetection as Code プラットフォームで、世界中の熟練したプロフェッショナルによって作成された正確でタイムリーな検出を利用し、SOCチームの運用およびセキュリティ体制を向上させてください。