Black-T: Malware de cripto-minería añade la capacidad de robar contraseñas de Linux

El grupo de delitos cibernéticos TeamTNT ha actualizado recientemente su gusano cripto-minería con capacidades de robo de contraseñas y con un escáner de red adicional para facilitar la propagación a otros dispositivos vulnerables.

Si bien se sabe que la mayoría de los casos de Docker se dirigen activamente a utilizar sistemas comprometidos para la explotación minera no autorizada de Monero (XMR), el grupo ha cambiado ahora sus tácticas actualizando su malware de cifrado para recoger también las credenciales de los usuarios.

Robo de contraseñas y actualizaciones de escaneo

Como los investigadores de la Unit 42 descubrieron que el TeamTNT está trabajando duro para aumentar las capacidades de su malware, esta vez añadiendo capacidades de raspado de contraseñas de memoria a través de mimipy (con soporte para Windows/Linux/macOS) y mimipenguin (con soporte para Linux), dos equivalentes de Mimikatz de código abierto dirigidos a los ordenadores de sobremesa *NIX.

Black-T, como el gusano ha sido nombrado por la Unit 42, recoge las contraseñas en texto plano que encuentra en la memoria de los sistemas comprometidos y las entrega a los servidores de mando y control de TeamTNT.

«Esta es la primera vez que se ha visto a los actores del TeamTnT incluir este tipo de operación post-explotación en sus TTPs«, explicó el investigador principal de amenazas de la Unit 42, Nathaniel Quist, en un informe publicado hoy.

«De manera similar a las credenciales de AWS robadas, también capturadas por los actores de TeamTnT, es probable que estas credenciales se utilicen para operaciones adicionales dirigidas contra la organización que gestiona la API de Docker comprometida».

Password scraping and theft

El grupo también ha añadido el escáner de red zgrab GoLang al gusano cripto-minero Black-T, el tercer escáner además del pnscan y el masscan.

El escáner masscan usado por Black-T también ha sido actualizado para apuntar al puerto TCP 5555, lo que podría dar a entender que TeamTnT tiene como objetivo potencial los dispositivos Android, aunque la evidencia de esto es actualmente bastante endeble según la Unit 42.

Desarrollo del ataque TeamTNT

La red de botnets de cripto-minería del grupo fue vista por primera vez en mayo por el MalwareHunterTeam y luego fue examinada por Trend Micro, que descubrió su instalación de Docker dirigida a la afinidad.

En agosto, los investigadores de Cado Security fueron los primeros en descubrir la nueva función de robo de credenciales AWS del gusano TeamTNT, convirtiéndolo en el primer malware de criptojacking con esta capacidad.

El mes pasado, TeamTNT fue observado por Intezer en ataques en los que el grupo desplegó la legítima herramienta de código abierto Weave Scope para mapear procesos en ejecución, contenedores y hosts en servidores comprometidos, así como para tomar el control de las aplicaciones instaladas.

Code used to steal AWS credentials

Como descubrieron los investigadores, esto les permitió obtener el control total de la infraestructura de la nube de la víctima, ya que Weave Scope se integra con Docker, Kubernetes, Sistema Operativo de Nube Distribuida (DC/OS) y Nube de Computación Elástica (ECS) de AWS.

Combinando todas estas tácticas, técnicas y procedimientos (TTP), TeamTNT utiliza su red de robots de servidores comprometidos para escanear entornos de nube con instalaciones Kubernetes y Docker con APIs expuestas con la ayuda de los escáneres de red masscan, pnscan y/o zgrab.

Una vez que el malware infecta con éxito un servidor mal configurado, se despliega en nuevos contenedores e instala un binario de carga útil malicioso que comienza a extraer la criptografía de Monero (XMR).

Las últimas variantes del gusano criptojacking Black-T escanearán los sistemas infectados en busca de información no cifrada utilizada por la CLI de AWS para almacenar credenciales y configurar la información para robar las credenciales de AWS y, como descubrió la Unit 42, también raspará la memoria en busca de contraseñas de texto plano utilizando equivalentes *NIX Mimikatz.

Fuente: bleepingcomputer

Comments are closed.