AT&T Alien Labs的安全研究人员发现,TeamTNT网络犯罪组织使用开源检测逃避功能升级了他们的Linux加密采矿。
TeamTNT最有名的是针对未经授权的Monero(XMR)挖掘来针对和破坏Internet暴露的Docker实例。
但是,该组织还通过更新名为Black-T的Linux加密劫持恶意软件来改变策略,以从受感染的服务器中收集用户凭据。
现在,TeamTNT在Linux设备上感染并部署了恶意的硬币矿工负载后,进一步升级了其恶意软件,以逃避检测。
隐藏在众目睽睽下
AT&T Alien Labs安全研究员Ofer Caspi在今天发布的一份报告中说: “该小组正在使用一种新的逃避检测工具,该工具是从开源存储库复制而来的 。”
该工具称为libprocesshider,它是Github上可用的开源工具,可在ld预加载器的帮助下用于隐藏任何Linux进程。
卡斯比补充说:“新工具的目的是将恶意程序从诸如ps和lsof之类的程序信息程序中隐藏起来,有效地充当防御规避技术。”
逃避检测工具作为嵌入在TeamTNT ircbot或cryptominer二进制文件中的base64编码的bash脚本部署在受感染的系统上。
解码后的进程隐藏脚本
解码的进程隐藏脚本(AT&T Alien Labs)
一旦脚本在受到感染的计算机上启动,它将执行一系列任务,这些任务将使其:
修改网络DNS配置。
通过systemd设置持久性。
拖放并激活新工具作为服务。
下载最新的IRC bot配置。
清楚的活动证据,使维权者的潜在行动复杂化。
完成所有步骤后,Black-T恶意软件还将通过删除系统的bash历史记录自动清除所有恶意活动痕迹。
“通过使用libprocesshider,TeamTNT再次基于可用的开源工具来扩展其功能,” Caspi总结道。
“尽管libprocesshider的新功能是逃避检测和其他基本功能,但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”
僵尸网络升级
加密采矿僵尸网络最早是由MalwareHunterTeam在2020年5月发现的, 后来由趋势科技分析后发现了其Docker目标关联性。
恶意软件感染配置错误的服务器后,它将自己部署在新容器中,并丢弃恶意的有效负载二进制文件,从而开始挖掘Monero(XMR)加密货币。
8月,Cado Security发现了 TeamTNT蠕虫的新AWS凭证收集功能,使其成为第一个具有此功能的加密劫持僵尸网络。
一个月后,Intezer在部署合法的Weave Scope开源工具以控制受害人的Docker,Kubernetes,分布式云操作系统(DC / OS)或AWS Elastic Compute Cloud(ECS)云基础架构时发现了该恶意软件。。
本月初,TeamTNT开始使用开源Ezur i加密器和内存加载器,使防病毒产品几乎无法检测到其恶意软件。
*编译:Domino
*来自:bleepingcomputer
文章评论