Nhóm nghiên cứu bảo mật của AT&T Alien Labs gần đây đã phát hành một báo cáo chi tiết về một chiến dịch mới với tên gọi Chimaera, được phát động bởi nhóm tin tặc TeamTNT. Dựa trên các bản ghi nhật ký của máy chủ C&C, nhà nghiên cứu cho biết chiến dịch dường như bắt đầu vào ngày 25 tháng 7, và các công cụ được sử dụng bởi nhóm tin tặc đều là mã nguồn mở.
Hoạt động của nhóm TeamTNT lần đầu tiên được phát hiện vào năm ngoái với việc cài đặt phần mềm độc hại khai thác tiền điện tử trên các cùng chứa Docker tồn tại lỗ hổng. Ngoài ra, các nhà nghiên cứu bảo mật tới từ Trend Micro và Cado Security phát hiện ra các hành độc độc hại của nhóm như việc đánh *** thông tin đăng nhập AWS để lây nhiễm nhiều máy chủ, hay việc nhắm mục tiêu các cài đặt Kubernetes.
Theo quan sát của Alien Labs, TeamTNT đang nhắm mục tiêu tới Windows, AWS, Docker, Kubernetes, các bản phân phối Linux như Alpine. Hiện tại hàng nghìn thiết bị đã bị xâm nhập thông qua chiến dịch Chimaera của nhóm tin tặc.
Nhóm tin tặc chủ yếu sử dụng các công cụ mã nguồn mở trong chiến dịch của nó. Có thể kể đến như công cụ dò quét cổng Masscan, phần mềm libprocesshider để thực thi TeamTNT bot từ bộ nhớ, công cụ 7z để giải nén tệp, webshell b374k để kiểm soát hệ thống, công cụ Lazagne để thu thập thông tin đăng nhập.
Palo Alto Networks xác định nhóm đang sử dụng Peirates, một bộ công cụ kiểm thử thâm nhập đám mây để nhắm mục tiêu các ứng dụng dựa trên đám mây. Công ty cho biết: "Việc sử dụng các công cụ mã nguồn mở như Lazagne cho phép TeamTNT không bị phát hiện trong một khoảng thời gian, khiến các công ty chống vi-rút khó phát hiện hơn."
Mặc dù sử có khá nhiều công cụ để tấn công hệ điều hành, nhưng mục tiêu của nhóm TeamTNT là khai thác tiền điện tử. Ví dụ, trên hệ thống Windows, nhóm tin tặc sẽ triển khai công cụ khai thác Xmrig. Công cụ này sẽ tạo một dịch vụ mới trên hệ điều hành, thêm hàng loạt các tệp vào thư mục khởi động của hệ điều hành nhằm duy trì tính bền bỉ. Mã độc cũng được sử dụng để tấn công các hệ thống Kubernetes tồn tại lỗ hổng.
Alien Labs cho biết, có rất ít phần mềm diệt virus phát hiện được phần mềm độc hại được sử dụng bởi nhóm tin tặc.
Hoạt động của nhóm TeamTNT lần đầu tiên được phát hiện vào năm ngoái với việc cài đặt phần mềm độc hại khai thác tiền điện tử trên các cùng chứa Docker tồn tại lỗ hổng. Ngoài ra, các nhà nghiên cứu bảo mật tới từ Trend Micro và Cado Security phát hiện ra các hành độc độc hại của nhóm như việc đánh *** thông tin đăng nhập AWS để lây nhiễm nhiều máy chủ, hay việc nhắm mục tiêu các cài đặt Kubernetes.
Theo quan sát của Alien Labs, TeamTNT đang nhắm mục tiêu tới Windows, AWS, Docker, Kubernetes, các bản phân phối Linux như Alpine. Hiện tại hàng nghìn thiết bị đã bị xâm nhập thông qua chiến dịch Chimaera của nhóm tin tặc.
Nhóm tin tặc chủ yếu sử dụng các công cụ mã nguồn mở trong chiến dịch của nó. Có thể kể đến như công cụ dò quét cổng Masscan, phần mềm libprocesshider để thực thi TeamTNT bot từ bộ nhớ, công cụ 7z để giải nén tệp, webshell b374k để kiểm soát hệ thống, công cụ Lazagne để thu thập thông tin đăng nhập.
Palo Alto Networks xác định nhóm đang sử dụng Peirates, một bộ công cụ kiểm thử thâm nhập đám mây để nhắm mục tiêu các ứng dụng dựa trên đám mây. Công ty cho biết: "Việc sử dụng các công cụ mã nguồn mở như Lazagne cho phép TeamTNT không bị phát hiện trong một khoảng thời gian, khiến các công ty chống vi-rút khó phát hiện hơn."
Mặc dù sử có khá nhiều công cụ để tấn công hệ điều hành, nhưng mục tiêu của nhóm TeamTNT là khai thác tiền điện tử. Ví dụ, trên hệ thống Windows, nhóm tin tặc sẽ triển khai công cụ khai thác Xmrig. Công cụ này sẽ tạo một dịch vụ mới trên hệ điều hành, thêm hàng loạt các tệp vào thư mục khởi động của hệ điều hành nhằm duy trì tính bền bỉ. Mã độc cũng được sử dụng để tấn công các hệ thống Kubernetes tồn tại lỗ hổng.
Alien Labs cho biết, có rất ít phần mềm diệt virus phát hiện được phần mềm độc hại được sử dụng bởi nhóm tin tặc.