TeamTNT 서버 탈취: 클라우드 환경 공격을 전문으로 하는 범죄 조직의 귀환

사이버 보안 벤더 중 한 곳에서 포착한 허니팟 활동은 암호화폐 해킹 팀TNT 조직이 다시 활동하고 있음을 확인했습니다. 이 위협 행위자는 2020년 초 처음 발견되어 클라우드 환경을 공격했습니다. 그러나 2021년 말, 팀TNT의 적대자들은 작별 메시지를 트윗했으며, 이들의 최근 공격은 자동으로 생성된 것으로 추적된 지난해의 공격 이후 사실인 것처럼 보였습니다.

가장 최근의 공격은 팀TNT와 연결될 수 있는 TTP를 보여주며, 이 위협 행위자가 아마도 위협 환경에 복귀했음을 시사합니다.

팀TNT 활동 탐지

새로운 시그마기반 릴리스를 활용하여 조 민 훈 (ZETA) 가 팀TNT 위협 행위자가 배포한 봇넷을 탐지합니다:

팀TNT의 Cronb 공격의 가능한 탐지 (파일 이벤트를 통해)

이 탐지는 다음의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 가지고 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 주요 기술로서 인프라 침해(T1584)를 통해 자재 개발 전술을 다루고 있습니다.

위협 행위자들이 계속해서 그들의 기술을 향상시키고 있음에 따라, 우리는 잠재적 위험을 무료로 모니터링할 수 있는 현장 검증 솔루션을 제공합니다. 조직의 사이버보안 태세를 개선하기 위해 노력하는 위협 사냥꾼, 탐지 엔지니어 및 기타 정보 보안 실무자들은 SOC Prime의 플랫폼에 참여하여 팀TNT 공격을 신속하게 탐지할 수 있는 포괄적인 탐지 스택에 접근할 수 있습니다. 전용 규칙 키트를 얻으려면 탐지 탐색 버튼을 클릭하십시오.

탐지 탐색  

팀TNT 공격 분석

Aqua Security의 보안 연구원은 문제의 적대자를 유인한 허니팟을 설치했습니다. 연구원들은 침입 시도를 문서화하여 2022년 9월 팀TNT 그룹에 이를 귀속시켰으며, 이는 팀TNT 활동 재개의 신호입니다. 이는 암호화폐 채굴 조직이 2021년 말에 중단된 이후 거의 1년 만의 첫 번째 작전입니다. are behind the honeypots that lured the adversaries in question. The researchers have documented the intrusion attempts attributing them to the TeamTNT group in September 2022, signifying TeamTNT activity renewal. This is the first operation in almost a year since the crypto-mining gang shut shop in the late fall of 2021.

Aqua Security는 최근 공격의 세 가지 유형을 감지했습니다. 그 중 ‘캥거루 공격’이라고 불리는 것은 조직의 ‘가장 단순하고 극적인’ 공격입니다. 적대자들은 취약한 Docker Daemon을 공격하고, AlpineOS 이미지를 드롭한 후 셸 스크립트를 다운로드하여 비트코인 솔버를 얻습니다. ‘Cronb’와 ‘What Will Be’라고 명명된 두 가지 다른 공격 유형은 코인 마이너와 Tsunami 바이너리를 배포하기 위해 시작되었습니다.

2022년은 보안 전문가들에게 도전적인 시기가 되었으며, 많은 위협 행위자들이 새로운 기능을 갖추고 등장했지만 익히 검증된 접근 방식을 사용하는 것으로 나타났습니다. 우리의 글로벌 사이버 보안 커뮤니티에 참여하여 협력 방어의 효과를 수용함으로써 사이버 보안 대비 태세를 강화하십시오. SOC Prime의 Detection as Code 플랫폼. 세계 각지의 숙련된 전문가들이 만든 정확하고 시기 적절한 탐지를 통해 보안 운영 센터(SOC) 팀의 운영과 보안 태세를 향상하십시오.