Black-T: Neue Cryptojacking-Variante mit deutschen Phrasen

Die Sicherheitsforscher von Unit 42, dem Threat Intelligence Team von Palo Alto Networks, haben Black-T identifiziert, eine neue Variante von Cryptojacking-Malware der Gruppe TeamTnT. Die Experten haben dabei mehrere deutsche Phrasen entdeckt, die in mehrere TeamTnT-Scripts, einschließlich Black-T, eingefügt wurden. Die allererste Zeile nach einem ASCII-Art-Banner innerhalb des Scripts lautet: „verbose mode ist nur für euch ;) damit ihr was zum gucken habt in der sandbox :-*“ Es gab zudem mehrere andere Fälle, in denen deutsche Phrasen in TeamTnT-Scripts verwendet wurden.

TeamTnT ist dafür bekannt, dass die Akteure auf AWS-Zugangsdatendateien auf kompromittierten Cloud-Systemen abzielen und für Monero (XMR) arbeiten. Black-T folgt den traditionellen Taktiken, -Techniken und -Prozeduren (TTPs) von TeamTnT. Die Gruppe nimmt exponierte Docker-Daemon-APIs ins Visier und führt Scan- und Cryptojacking-Vorgänge auf anfälligen Systemen betroffener Unternehmen durch.

Der Code innerhalb der Black-T-Malware-Probe deutet jedoch auf eine Verschiebung der TTPs bei den TeamTnT-Operationen hin. Hier ist vor allem die Ausrichtung auf bisher unbekannte Cryptojacking-Würmer (Crux-Wurm, ntpd-Miner und ein Redis-Backup-Miner) hervorzuheben. Darüber hinaus hat TeamTnT die Verwendung von Memory-Passwort-Scraping-Operationen über mimipy und mimipenguins implementiert, als äquivalente NIX-Tools zu der häufig verwendeten Windows-spezifischen Speicher-Passwort-Scraping-Funktionalität von Mimikatz. Mimikatz ist ein Tool, das in der Lage ist, Klartext-Passwörter von Windows-Betriebssystemen zu scrappen sowie Pass-the-Hash- und Pass-the-Token-Operationen durchzuführen, die es Angreifern ermöglichen, Benutzersitzungen zu kapern. Alle identifizierten Passwörter, die durch mimipenguins erfasst wurden, werden dann zu einem Command-and-Control (C2)-Node von TeamTnT exfiltriert. Dies ist das erste Mal, dass TeamTnT-Akteure dabei beobachtet wurden, wie sie diese Art von Post-Exploitation-Operationen in ihre TTPs eingebaut haben.

Das Black-T-Tool ist auch in der Lage, drei verschiedene Netzwerk-Scanning-Tools zu verwenden. So gelingt es, zusätzliche exponierte Docker-Daemon-APIs innerhalb des lokalen Netzwerks des kompromittierten Systems und über eine beliebige Anzahl von öffentlich zugänglichen Netzwerken hinweg zu identifizieren, um die Cryptojacking-Operationen auszuweiten. Sowohl masscan und pnscan wurden bereits früher von TeamTnT-Akteuren verwendet. Mit dem Hinzufügen von zgrab, einem GoLang-Netzwerk-Scanner, wurde jedoch zum ersten Mal ein GoLang-Tool in die TTPs von TeamTnT integriert. Es gab auch eine Aktualisierung der Masscan-Netzwerk-Scanner-Operation, die die Suche nach dem TCP-Port 5555 einschließt. Obwohl der genaue Zweck des Hinzufügens von Port 5555 zum Scanner unbekannt ist, gibt es dokumentierte Fälle, in denen XMR-Cryptojacking auf Android-basierten Geräten auftritt. Dies könnte auf ein neues unbekanntes Ziel hindeuten, das für die Erweiterung von TeamTnT-Cryptojacking-Operationen festgelegt wurde. Es gibt jedoch kaum Belege dafür, dass TeamTnT auf Android-Geräte abzielt.

Palo Alto Networks Prisma Cloud kann Unternehmen bei der Absicherung von Cloud-Bereitstellungen gegen die von TeamTnT ausgehenden Bedrohungen unterstützen. Prisma Cloud liefert eine Anleitung, um Schwachstellen oder Fehlkonfigurationen in den Einstellungen der Cloud-Umgebung und in Infrastructure-as-Code (IaC-)-Templates vor der Bereitstellung von Produktionssystemen besser zu erkennen. Darüber hinaus können durch die Installation der neuesten Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks Netzwerkverbindungen zu bekannten öffentlichen XMR-Mining-Pools oder zu bösartigen Domains und IPs verhindert werden, bevor die Umgebung kompromittiert wird.

Um Cloud-Systeme vor der Black-T-Kryptojacking-Malware von TeamTnT zu schützen, sollten Unternehmen diese Maßnahmen durchführen:   Cloud-Umgebungen sollten erstens keine Docker-Daemon-APIs oder andere Netzwerkdienste exponieren, die versehentlich sensible interne Netzwerkdienste preisgeben.  Nutzen Sie zweitens Prisma Cloud von Palo Alto Networks, um Cloud-Implementierungen zu schützen. Und schließlich Installation der neuen Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

Bericht: US-Justiz bereitet vier Kartellklagen gegen Google und Facebook vor

Sie sollen bis Ende Januar eingereicht werden. Es geht jeweils um einen möglichen Missbrauch einer…

2 Stunden ago

Forscher warnen vor Abhängigkeiten von DNS-Anbietern

Unter den führenden 100.000 Websites sind 84,8 Prozent von einem einzigen externen DNS-Anbieter abhängig. Selbst…

3 Stunden ago

Project Latte: Microsoft entwickelt Android-Subsystem für Windows 10

Es folgt dem Beispiel des Windows Subsystem for Linux. Android-Apps sollen mit wenigen Handgriffen als…

18 Stunden ago

Großbritannien verbietet ab September 2021 Einbau von 5G-Ausrüstung von Huawei

Produkte von Hochrisikoanbietern sollen bis 2027 auf den Netzen verschwinden. Künftig setzt Großbritannien auf ein…

20 Stunden ago

Cyber Monday: Kopfhörer von Soundcore im Angebot

Für einige Modelle hat die Anker-Tochter Soundcore den Preis um bis zu 31 Prozent reduziert.…

21 Stunden ago

Netzwerkausrüster Belden meldet Hackerangriff

Unbekannte dringen in das Netzwerk des US-Unternehmens ein. Sie haben Zugriff auf wenige Dateiserver. Dort…

22 Stunden ago