执行摘要TeamTNT是一个专注于云端劫持的攻击组织,以使用XMRig加密工具进行挖矿而广为人知。在TeamTNT小组最近的更新中,他们仍然以AWS凭证和Kubernetes集群为目标,并且还创建了一种名为Black-T的新恶意软件,它集成了开源云原生工具来帮助他们进行加密劫持。除其他外,TeamTNT使用AWS凭据枚举AWS云环境并尝试识别所有身份和访问管理(IAM)权限、弹性计算云(EC2)实例、与其绑定的简单存储服务(S3)存储桶、CloudTrail配置和CloudFormation操作。该组织目前能够获取16个云平台或应用程序的凭证,包括AWS和谷歌云。TeamTNT早在2020年8月就开始在云实例上收集AWS凭证,而谷歌云凭证被盗代表着TeamTNT的目标进一步扩大。没有微软Azure、阿里云、甲骨文云或IBM云的迹象。这些云服务提供商被盯上了,但他们的IAM证书仍然可以通过类似的方式被锁定。此外,TeamTNT还在其活动中增加了对开源Kubernetes和云渗透工具集Peirates的使用。有了这些技术,TeamTNT越来越有能力在目标云环境中收集足够的信息用于后期开发操作。这将导致更多的横向移动或特权升级攻击案例,最终可能允许TeamTNT获得对整个云环境的管理访问权限。截至撰写本文时,TeamTNT已经积累了6.52012192枚门罗币(价值1,788美元)。八名矿工以平均77.7KH/s的速度进行挖矿作业,这个门罗币钱包地址存在114天。枚举技术Unit42研究人员确定了TeamTNT的一个恶意软件存储库为hxxp://45.9.148[.]35/chimaera/sh/,其中包含多个bash脚本,这些脚本执行加密劫持、漏洞利用、横向移动和凭证抓取等操作,该恶意软件图1所示的存储库称为Chimaera存储库,它反映了TeamTNT在云环境中不断扩展的业务范围、当前和未来的目标。图1.TeamTNT的Chimaera资源库在Chimaera资源库中,有三个脚本体现了TeamTNT的定位和意图。第一个脚本是grab_aws-data.sh,(SHA256:a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593),它主要使用获取的AWSIAM凭证枚举AWS云环境;第二个脚本bd_aws.sh(SHA256:de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)从一个AWS实例提取所有SSH密keyandidentifiesallexecutableprogramscurrentlyrunningonthatinstance;thefinalscriptsearch.sh(SHA256:ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)searchesforconfigurationfilesofapplicationsstoredonaparticularhost.AllthreeoftheabovescriptsarenewlydiscoveredandrevealTeamTNT’sintenttotargetapplicationsinAWS,Googlecloudenvironments.EnumerateAWSenvironmentbashscriptgrab_aws-data.shcontains70uniqueAWSCommandLineInterface(AWSCLI)commandstoenumerate7categoriesofAWSservicesincludingIAMconfiguration,EC2instances,S3buckets,supportcasesanddirectconnections,aswellasCloudTrailandCloudFormation.AsshowninFigure2,allvalues??obtainedthroughtheAWSenumerationprocessarestoredintheinfectedsystem'slocaldirectory/var/tmp/.../...TnT.../aws-account-data/.图2.TeamTNT的grab_aws.sh脚本TeamTNT脚本包含以下七个AWS服务的命令:44个EC2实例命令14个IAM命令4个直接连接命令4个CloudFormation命令2个CloudTrail命令1个S3命令1个支持命令CredentialGrabTeamTNT还扩展了它们的凭证-抓取功能,例如识别和收集可能存在于受感染云端点上的16个应用程序或云实例上任何已知用户帐户(包括根帐户)的凭据,如下所示:SSHkeys。AWSkeys.s3clients.s3backers3proxys3qlpasswd-s3fss3cfgDocker。GitHub。首丹。恩格罗克。洋泾浜。文件齐拉。聊天。谷歌云。项目Jupyter。攻击窃取AWS以外的IAM产品凭证的组织(见图3)。该方法未来可能会在其他同类产品中使用,MicrosoftAzure、阿里云、OracleCloud或IBMCloud环境都可能成为攻击目标。研究人员认为,TeamTNT开发出类似于上述grab_aws-data.sh的功能只是时间问题。图3.TeamTNT的search.sh脚本搜索GoogleCloudCredentials横向移动操作下面的程序专门处理横向移动。Weaveworks在search.sh脚本中,有几个应用程序显示了TeamTNT操作的不断演变的攻击模式。在Chimaera存储库中,Unit42研究人员确定了几个挑出特定应用程序的脚本,其中之一是Weaveworks(见图4)。Weave是为Docker和Kubernetes等容器基础设施开发的微服务网络网格应用程序,允许微服务在一个或多个主机上运行,??同时保持网络连接。通过针对Weave安装,TeamTNT可以使用Wea??ve网络网格应用程序在容器内实现横向移动。从脚本setup_scope.sh(SHA256:584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1)中的base64编码代码可以看出,TeamTNT的目标是包含WeaveDocker容器用户帐户信息。图4.TeamTNT脚本setup_scope.shbase64解码代码图5.为Monero挖矿创建的本地Docker映像ProjectJupyterProjectJupyter也被列为TeamTNT操作的目标,首先在search.sh脚本中作为凭证获取目标,其次作为beta横向移动脚本spread_jupyter_tmp.sh(SHA256:0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。Unit42研究人员还在TeamTNT个人的Twitter帐户中发现了对Jupyter的引用。如图6所示,内容提到了一个受损的Jupyter端点。图6.TeamTNT工作人员展示了一个受感染的Jupyter端点TeamTNT使用PeiratesPeirates工具来破坏AWS和Kubernetes。它具有多种功能,如图7所示。该工具允许攻击者调查和识别Kubernetes和云环境中的错误配置或潜在漏洞,并使TeamTNT能够对云基础设施执行入侵操作。图7.Peirates渗透测试选项门罗币挖矿运营TeamTNT在运营上仍然专注于加密货币劫持。虽然前面几节介绍了TeamTNT用于扩展其加密劫持基础设施的新技术的发现,但以下部分将重点介绍与用于执行其加密劫持操作的过程相关的发现。本地Docker镜像值得注意的是脚本文件docker.container.local.spread.txt,其中列出了本地Docker镜像的名称,如图8所示。Docker镜像是本地Docker镜像,也就是说不是从托管或外部Docker存储库下载。研究人员在DockerHub中搜索了此Docker镜像是否存在,但一无所获。图8.docker.container.local.spread.txt的内容创建一个Docker容器来为挖矿操作提供一个主机。如图5所示,创建一个名为mangletmpuser/fcminer的Docker镜像,启动该镜像并导入到Chimaera仓库文件setup_xmr.sh(SHA256:5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904),这将启动Docker容器中的开源应用XMRig加密采矿过程。新的门罗币钱包研究人员发现了一个与门罗币公共矿池pool.supportxmr[.]com:3333关联的新门罗币钱包地址,如图9所示。图9.SupportXMR公共矿池配置在图10中,该矿池地址显示TeamTNT挖矿活动共收集到6.52012192枚门罗币,涉及8台矿机,历时114天。对于TeamTNT这样的组织来说,这种规模只能算是小规模挖矿。图10.SupportXMR池显示结论我们建议在云环境中运营的组织监控并阻止与TeamTNT的Chimaera存储库以及历史C2端点相关的所有网络连接。使用云原生安全平台将显着减少云基础设施的攻击面,并允许组织监控风险。Unit42研究人员强烈推荐以下技巧来帮助保护云基础设施:对所有云IAM角色和权限实施最低权限的IAM访问策略。在适用的情况下,为服务帐户使用短期或一次性IAM凭证。监控和阻止已知恶意端点的网络流量。仅在生产环境中部署经过审查的容器镜像。实施和使用基础架构即代码(IaC)扫描平台,以防止将不安全的云实例部署到生产环境中。使用支持治理、风险管理和合规性(GRC)的云基础架构配置扫描工具来识别潜在危险的错误配置。使用云端点代理来监控和阻止已知的恶意应用程序在云基础设施中运行。本文翻译自:https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/如有转载请注明出处。
