Новая кампания TeamTNT нацелена на ОС для скрытого майнинга Monero

11 сентября, 2021 / Новости

monero hardfork

В ходе новой кампании «Chimaera» злоумышленники заразили тысячи компьютеров. 

Ранее на этой неделе исследователи кибербезопасности из AT&T Alien Labs опубликовали отчет о последней кампании группировки под названием Chimaera. которая длится уже около 1,5 месяцев, начиная с 25 июля. А это значит, что антивирусные продукты по большей части не обнаруживают вредоносное ПО.

Другими словами, Chimaera имела успех, поскольку могла беспрепятственно проникать в сети жертв и майнить криптовалюту Monero.

Alien Labs заявила, что последняя кампания имеет ту же направленность, что и предыдущие: а именно: «кража учетных данных облачных систем и использование зараженных систем для майнинга криптовалюты».

TeamTNT предпочитает использовать инструменты с открытым исходным кодом. Например, в январе хакеры внедрили инструмент обнаружения-уклонения libprocesshider, который помог их скрыть свое вредоносное ПО под Linux.

В кампании Chimaera злоумышленники используют еще один новый набор инструментов, который помогает вредоносной программе для криптомайнинга обойти защиту.

В Alien Labs отмечают, что использование таких инструментов с открытым исходным кодом, как LaZagne, помогает вредоносному ПО избежать обнаружения:

«Использование инструментов с открытым исходным кодом, таких как LaZagne, позволяет TeamTNT какое-то время оставаться вне поля зрения, затрудняя идентификацию антивирусными компаниями».

Как отмечают эксперты по кибербезопасности, Chimaera нацелена на Windows, AWS, Docker, Kubernetes и различные установки Linux, включая Alpine, которая обычно используется в контейнерах.

Статистика заражения Chimaera

Наряду с кампанией появилось еще одно новшество: впервые TeamTNT начала публиковать статистику заражений на своем официальном сайте. Как показано на изображении ниже, на момент создания снимка экрана число жертв составляло 5 104 человека.

Компания Trend Micro назвала TeamTNT «одной из самых многочисленных и устойчивых хакерских группировок за последнее время». Как компания написала в июльском отчете, группировка активна с 2011 года, но лишь в прошлом году начала набирать обороты.

В апреле 2020 года TeamTNT запустила недолговечную фишинговую кампанию, в которой в качестве приманки использовались термины COVID-19. Месяц спустя злоумышленники нацелились на уязвимые контейнеры Docker с целью криптоджекинга.

TeamTNT известна атаками на учетные данные Amazon Web Services (AWS), используемыми для взлома облачных систем с целью майнинга криптовалюты Monero.

Актуально