TeamTNT Sequestrando Servidores: Gangue Criminosa Especializada em Atacar Ambientes de Nuvem está de Volta
Índice:
Atividade de honeypot observada por um dos fornecedores de cibersegurança confirmou que a gangue de cryptojacking TeamTNT está de volta ao ataque. O ator de ameaça foi detectado pela primeira vez no início de 2020, mirando ambientes em nuvem. No entanto, no final de 2021, os adversários do TeamTNT tuitaram uma mensagem de despedida, que parecia ser verdadeira, já que os ataques do ano passado que foram rastreados até a gangue foram gerados automaticamente.
Os ataques mais recentes mostram TTPs que podem ser vinculados ao TeamTNT, sugerindo que o ator de ameaça provavelmente está de volta ao cenário de ameaças.
Detectar Atividade do TeamTNT
Utilize uma nova Sigma-liberação baseada por Zaw Min Htun (ZETA) para detectar um botnet implantado por atores de ameaça do TeamTNT:
Possível Detecção do Ataque Cronb do TeamTNT (via evento de arquivo)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Snowflake, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com o framework MITRE ATT&CK® v.10, abordando a tática de Desenvolvimento de Recursos com a técnica principal de Compromisso de Infraestrutura (T1584).
Com os atores de ameaça continuamente aprimorando seus truques, oferecemos soluções comprovadas em campo para monitorar potenciais riscos gratuitamente. Caçadores de ameaças, engenheiros de detecção e outros profissionais de InfoSec que buscam melhorar a postura de cibersegurança da organização podem entrar na plataforma SOC Prime e alcançar uma pilha de detecção abrangente para rápida detecção dos ataques do TeamTNT. Clique no Explorar Detecções para obter acesso ao kit de regras dedicado.
Análise dos Ataques do TeamTNT
Pesquisadores de segurança da Aqua Security estão por trás dos honeypots que atraíram os adversários em questão. Os pesquisadores documentaram as tentativas de intrusão, atribuindo-as ao grupo TeamTNT em setembro de 2022, significando uma renovação da atividade do TeamTNT. Esta é a primeira operação em quase um ano desde que a gangue de mineração de criptomoedas fechou as atividades no final do outono de 2021.
A Aqua Security detectou três tipos dos ataques recentes. Aquele intitulado “o ataque Canguru” é o “mais simples e dramático” da gangue. Os adversários atingem Daemons Docker vulneráveis, descartam a imagem AlpineOS, baixam um script shell e obtêm o solucionador de Bitcoin. Outros dois tipos de ataque chamados de “Cronb” e “What Will Be” foram lançados para implantar mineradores de moedas e binários Tsunami.
O ano de 2022 tornou-se um momento desafiador para os profissionais de segurança, com muitos atores de ameaça ressurgindo com novos e aprimorados recursos, mas ainda confiando em abordagens testadas pelo tempo. Melhore sua prontidão em cibersegurança abraçando o poder da defesa colaborativa ao se juntar à nossa comunidade global de cibersegurança na plataforma de Detecção como Código da SOC Prime . Aproveite as detecções precisas e oportunas feitas por profissionais experientes de todo o mundo para impulsionar as operações da sua equipe SOC e a postura de segurança.
