Black-T: Neue Cryptojacking-Variante mit deutschen Phrasen

Die Sicherheitsforscher von Unit 42, dem Threat Intelligence Team von Palo Alto Networks, haben Black-T identifiziert, eine neue Variante von Cryptojacking-Malware der Gruppe TeamTnT. Die Experten haben dabei mehrere deutsche Phrasen entdeckt, die in mehrere TeamTnT-Scripts, einschließlich Black-T, eingefügt wurden. Die allererste Zeile nach einem ASCII-Art-Banner innerhalb des Scripts lautet: „verbose mode ist nur für euch ;) damit ihr was zum gucken habt in der sandbox :-*“ Es gab zudem mehrere andere Fälle, in denen deutsche Phrasen in TeamTnT-Scripts verwendet wurden.

TeamTnT ist dafür bekannt, dass die Akteure auf AWS-Zugangsdatendateien auf kompromittierten Cloud-Systemen abzielen und für Monero (XMR) arbeiten. Black-T folgt den traditionellen Taktiken, -Techniken und -Prozeduren (TTPs) von TeamTnT. Die Gruppe nimmt exponierte Docker-Daemon-APIs ins Visier und führt Scan- und Cryptojacking-Vorgänge auf anfälligen Systemen betroffener Unternehmen durch.

Der Code innerhalb der Black-T-Malware-Probe deutet jedoch auf eine Verschiebung der TTPs bei den TeamTnT-Operationen hin. Hier ist vor allem die Ausrichtung auf bisher unbekannte Cryptojacking-Würmer (Crux-Wurm, ntpd-Miner und ein Redis-Backup-Miner) hervorzuheben. Darüber hinaus hat TeamTnT die Verwendung von Memory-Passwort-Scraping-Operationen über mimipy und mimipenguins implementiert, als äquivalente NIX-Tools zu der häufig verwendeten Windows-spezifischen Speicher-Passwort-Scraping-Funktionalität von Mimikatz. Mimikatz ist ein Tool, das in der Lage ist, Klartext-Passwörter von Windows-Betriebssystemen zu scrappen sowie Pass-the-Hash- und Pass-the-Token-Operationen durchzuführen, die es Angreifern ermöglichen, Benutzersitzungen zu kapern. Alle identifizierten Passwörter, die durch mimipenguins erfasst wurden, werden dann zu einem Command-and-Control (C2)-Node von TeamTnT exfiltriert. Dies ist das erste Mal, dass TeamTnT-Akteure dabei beobachtet wurden, wie sie diese Art von Post-Exploitation-Operationen in ihre TTPs eingebaut haben.

Das Black-T-Tool ist auch in der Lage, drei verschiedene Netzwerk-Scanning-Tools zu verwenden. So gelingt es, zusätzliche exponierte Docker-Daemon-APIs innerhalb des lokalen Netzwerks des kompromittierten Systems und über eine beliebige Anzahl von öffentlich zugänglichen Netzwerken hinweg zu identifizieren, um die Cryptojacking-Operationen auszuweiten. Sowohl masscan und pnscan wurden bereits früher von TeamTnT-Akteuren verwendet. Mit dem Hinzufügen von zgrab, einem GoLang-Netzwerk-Scanner, wurde jedoch zum ersten Mal ein GoLang-Tool in die TTPs von TeamTnT integriert. Es gab auch eine Aktualisierung der Masscan-Netzwerk-Scanner-Operation, die die Suche nach dem TCP-Port 5555 einschließt. Obwohl der genaue Zweck des Hinzufügens von Port 5555 zum Scanner unbekannt ist, gibt es dokumentierte Fälle, in denen XMR-Cryptojacking auf Android-basierten Geräten auftritt. Dies könnte auf ein neues unbekanntes Ziel hindeuten, das für die Erweiterung von TeamTnT-Cryptojacking-Operationen festgelegt wurde. Es gibt jedoch kaum Belege dafür, dass TeamTnT auf Android-Geräte abzielt.

Palo Alto Networks Prisma Cloud kann Unternehmen bei der Absicherung von Cloud-Bereitstellungen gegen die von TeamTnT ausgehenden Bedrohungen unterstützen. Prisma Cloud liefert eine Anleitung, um Schwachstellen oder Fehlkonfigurationen in den Einstellungen der Cloud-Umgebung und in Infrastructure-as-Code (IaC-)-Templates vor der Bereitstellung von Produktionssystemen besser zu erkennen. Darüber hinaus können durch die Installation der neuesten Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks Netzwerkverbindungen zu bekannten öffentlichen XMR-Mining-Pools oder zu bösartigen Domains und IPs verhindert werden, bevor die Umgebung kompromittiert wird.

Um Cloud-Systeme vor der Black-T-Kryptojacking-Malware von TeamTnT zu schützen, sollten Unternehmen diese Maßnahmen durchführen:   Cloud-Umgebungen sollten erstens keine Docker-Daemon-APIs oder andere Netzwerkdienste exponieren, die versehentlich sensible interne Netzwerkdienste preisgeben.  Nutzen Sie zweitens Prisma Cloud von Palo Alto Networks, um Cloud-Implementierungen zu schützen. Und schließlich Installation der neuen Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

3 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

3 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

3 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

3 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

3 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

3 Tagen ago