Παρόλο που το κακόβουλο λογισμικό Black-T στοχεύει τα Docker container με σκοπό την χρήση τους για μη εξουσιοδοτημένη εξόρυξη κρυπτονομισμάτων Monero (XMR), η ομάδα που το ανέπτυξε φαίνεται να άλλαξε τις τακτικές του ενσωματώνοντάς του δυνατότητες να συλλέγει επίσης συνθηματικά χρηστών.

Η ομάδα του κυβερνοεγκλήματος που φέρονται με το όνομα TeamTnT αναβάθμισε πρόσφατα το worm εξόρυξης κρυπτονομισμάτων (που στοχεύει τα AWS instances) με δυνατότητες κλοπής κωδικών πρόσβασης και με έναν πρόσθετο σαρωτή δικτύου για να διευκολύνει τη διάδοση του σε άλλες ευάλωτες συσκευές όπως είχαμε δει αντίστοιχα με FritzFrog Botnet.

Black T | Κλοπή κωδικών πρόσβασης και βελτιώσεις σάρωσης

Οι ερευνητές της Unit 42 διαπίστωσαν ότι η ομάδα TeamTnT προσπαθεί να ενισχύσει τις δυνατότητες του κακόβουλου λογισμικού της, προσθέτοντας δυνατότητες κλοπής κωδικών πρόσβασης μέσω της μνήμης RAM με το mimipy (με υποστήριξη για Windows / Linux / macOS) και mimipenguin (υποστήριξη Linux), δύο ισοδύναμα λογισμικά του ανοιχτού κώδικα Mimikatz (εξάγει plaintext passwords, hash, PIN codes και kerberos tickets από την μνήμη) που στοχεύουν *NIX desktop υπολογιστές.

Το Black-T, όπως το έχουν ονομάσει είναι ένα worm που όταν συλλέξει τους μη κρυπτογραφημένους κωδικούς πρόσβασης που βρίσκει στη μνήμη των παραβιασμένων συστημάτων τους στέλνει στους διακομιστές ελέγχου της TeamTnT.

Advertisements

Η ομάδα έχει προσθέσει επίσης το zgrab GoLang network scanner στο worm Black-T ως τρίτο σαρωτή πάνω από το pnscan και το masscan που διέθετε ήδη. Έχει επίσης ενημερωθεί για να στοχεύσει τη θύρα 5555 TCP το οποίο ενδέχεται να στοχεύει τις συσκευές Android, αν και επί του παρόντος σύμφωνα με τη Unit 42 δεν υπάρχουν ισχυρές αποδείξεις για αυτό.

Μόλις το κακόβουλο λογισμικό μολύνει με επιτυχία έναν διακομιστή που δεν έχει ρυθμιστεί σωστά, αναπτύσσεται σε νέα Docker container και εγκαθιστά ένα κακόβουλο λογισμικό που ξεκινά την εξόρυξη κρυπτονομισμάτων Monero (XMR) [βλέπε: Τι είναι το Bitcoin, πως λειτουργεί και που θα φτάσει η τιμή και η αξία του] αλλά και την σάρωση μη κρυπτογραφημένων συνθηματικών που μπορεί να χρησιμοποιεί κάποιος με το AWS CLI .

Παραπομπές: