Black-T

Black-T-Beschreibung

Black-T ist eine Trojaner-Malware-Bedrohung, die als Teil des Arsenals einer Hacker-Gruppe namens TeamTNT verwendet wird. Anfänglich war die Hauptaktivität von TeamTNT die Verteilung von Cryptocurrency Miner für die Monero Cryptocurrency. Die Hacker durchsuchten das Netz mit unzureichender Sicherheit nach Docker-Installationen und gefährdeten sie durch die Bereitstellung einer Crypto-Miner-Nutzlast.

Cybersicherheitsforscher haben jedoch festgestellt, dass die TeamTNT-Gruppe ihr Einsatzspektrum diversifiziert und ihr Malware-Toolkit erweitert und modifiziert hat. Zunächst gaben die Hacker ihrem Crypto-Jacking-Wurm die Möglichkeit, Anmeldeinformationen und Konfigurationsdateien für Amazon Web Services (AWS) im Klartext von den gefährdeten Docker- oder Kubernetes-Systemen zu sammeln. Dann wurde beobachtet, wie die Cyberkriminelle ein legitimes Open-Source-Tool namens Weave Scope ausnutzte. Mit dem Tool konnten die Hacker die vollständige Kontrolle über die Cloud-Infrastruktur des Opfers übernehmen und laufende Prozesse, Container und Hosts auf gefährdeten Servern zuordnen.

Sammeln von Passwörtern durch Memory Scraping

Die neueste Version des Malware-Tools von TeamTNT, das von den Forschern von Unit42 als Black-T bezeichnet wurde, wurde analysiert und verfügte über ein noch breiteres Spektrum an Bedrohungsfunktionen. Durch die Verwendung von zwei Open-Source-Tools - Mimipy und Mimipenguin -, deren Konzept dem Tool zum Sammeln von Passwörtern Mimikatz ähnelt, zielt Black-T auf * NIX-Computer ab. Ziel ist es, den Speicher der gefährdeten Systeme nach Klartextkennwörtern zu durchsuchen, die dann an die Command-and-Control-Infrastruktur (C2, C & C) gesendet werden. Ähnlich wie beim Sammeln von AWS-Anmeldeinformationen wird TeamTNT die Kennwörter wahrscheinlich für zusätzliche Bedrohungsaktivitäten gegen das gefährdete Opfer verwenden.

Black-T hat sein Repertoire jedoch um einen weiteren GoLang-Netzwerkscanner namens zgrab erweitert, der die Gesamtzahl der Scanner auf drei erhöht. Die anderen beiden sind pnscan und masscan. Ein kleiner Hinweis darauf, dass TeamTNT möglicherweise versucht, Android-Geräte zu einem ihrer Ziele zu machen, ist, dass der Masscan von Black-T aktualisiert wurde und nun auf den 5555-TCP-Port abzielt.