執(zhí)行摘要

TeamTNT是一個專注對云進行加密劫持操作的攻擊組織，以使用XMRig加密工具挖礦而廣為人知。在近期TeamTNT組織的最新動態(tài)中，他們?nèi)砸訟WS憑證和Kubernetes集群為目標，并且還創(chuàng)建了名為Black-T的新惡意軟件，該軟件集成了開源云原生工具，能協(xié)助他們的加密劫持。除此之外，TeamTNT使用AWS憑據(jù)來枚舉AWS云環(huán)境，并試圖識別與之綁定的所有身份和訪問管理(IAM)權(quán)限、彈性計算云(EC2)實例、簡單存儲服務(S3)存儲桶、CloudTrail配置和CloudFormation操作。該組織目前能收集包括AWS和谷歌云在內(nèi)的16個云平臺或應用程序的憑據(jù)。

TeamTNT早在2020年8月就開始收集云實例上的AWS憑據(jù)，而對谷歌云憑據(jù)的竊取則表示TeamTNT的目標在進一步拓展，目前尚無跡象表明微軟Azure、阿里巴巴云、甲骨文云或IBM云的這些云服務提供商成為攻擊目標，但其IAM證書仍有可能通過類似的方法被鎖定。

此外，TeamTNT還在其活動中添加了對開源Kubernetes和云滲透工具集Peirates的使用。有了這些技術(shù)，TeamTNT越來越有能力在目標云環(huán)境中收集足夠的信息，并用于執(zhí)行后利用操作。這會導致更多的橫向移動或提權(quán)攻擊案例，最終可能讓TeamTNT獲得對整個云環(huán)境的管理訪問權(quán)限。

截止本文發(fā)表時，TeamTNT收集了6.52012192枚門羅幣(價值1,788美元)。采礦作業(yè)中的八個礦機以77.7KH/s的平均速度運行，此門羅幣錢包地址存在了114天。

枚舉技術(shù)

Unit42研究人員確定了TeamTNT的惡意軟件存儲庫之一為hxxp://45.9.148[.]35/chimaera/sh/，其中包含多個bash腳本，用于執(zhí)行加密劫持、漏洞利用、橫向移動和憑據(jù)抓取等操作，圖1所示這個惡意軟件存儲庫稱為Chimaera存儲庫，它能體現(xiàn)TeamTNT在云環(huán)境中不斷擴大的業(yè)務范圍，當前和未來的面向目標。

圖1.TeamTNT的Chimaera存儲庫

在Chimaera存儲庫中，有三個腳本體現(xiàn)了TeamTNT的定位和意圖。第一個腳本是grab_aws-data.sh，(SHA256：a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593)，它主要使用獲取的AWSIAM憑證枚舉AWS云環(huán)境;第二個腳本bd_aws.sh(SHA256：de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)從一個AWS實例提取所有SSH密鑰，并標識當前運行在該實例上的所有可執(zhí)行程序;最后的腳本search.sh(SHA256：ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存儲在特定主機上的應用程序的配置文件。上述三個腳本都是新發(fā)現(xiàn)的，顯露了TeamTNT以AWS、谷歌云環(huán)境中的應用程序為目標的意圖。

枚舉AWS環(huán)境

bash腳本grab_aws-data.sh包含70個獨特的AWS命令行界面(AWSCLI)命令，用于枚舉7類AWS服務，包括IAM配置、EC2實例、S3存儲桶、支持案例和直接連接，以及CloudTrail和CloudFormation。如圖2所示，通過AWS枚舉過程獲得的所有值都存儲在受感染系統(tǒng)的本地目錄/var/tmp/.../...TnT.../aws-account-data/中。

圖2.TeamTNT的grab_aws.sh腳本

TeamTNT腳本包含以下七種AWS服務的命令：

•  44個EC2實例命令
• 14個IAM命令
•  4直接連接命令
•  4CloudFormation命令
•  2CloudTrail命令
• 1S3命令
•  1支持命令

憑據(jù)抓取

TeamTNT還擴展了他們的憑證抓取功能，比如識別并收集16個應用程序憑據(jù)，這些應用程序可能存在于受感染的云端點上，也可能出現(xiàn)在云實例上的任何已知用戶帳戶上，包括根帳戶，如下所示：

• SSHkeys.
•  AWSkeys.

s3clients.

s3backer

s3proxy

s3ql

passwd-s3fs

s3cfg

• Docker.
•  GitHub.
•  Shodan.
• Ngrok.
•  Pidgin.
•  Filezilla.
•  Hexchat.
• 谷歌云.
•  ProjectJupyter.
•  ServerMessageBlock(SMB)clients.

對谷歌云憑證的竊取值得注意，因為這是首個竊取除AWS之外的IAM產(chǎn)品憑證的攻擊組織(參見圖3)，這類手法未來可能會被用于其他同類產(chǎn)品中，微軟Azure、阿里云、甲骨文云或IBM云環(huán)境可能會成為攻擊目標。研究人員認為，TeamTNT開發(fā)類似于上述grab_aws-data.sh的功能只是時間問題。

圖3.TeamTNT的search.sh腳本搜索谷歌云憑據(jù)

橫向移動操作

下面的程序是專門處理橫向移動的。

Weaveworks

在search.sh腳本中，有幾個應用程序顯示了TeamTNT操作不斷發(fā)展的攻擊模式。

在Chimaera存儲庫中，Unit42研究人員確定了幾個腳本，這些腳本可以挑選出特定的應用程序，其中之一是Weaveworks(參見圖4)。Weave是為Docker和Kubernetes等容器基礎設施開發(fā)的微服務網(wǎng)絡網(wǎng)格應用程序，允許微服務在一個或多個主機上運行，同時保持網(wǎng)絡連接。通過以Weave安裝為目標，TeamTNT有可能使用Weave網(wǎng)絡網(wǎng)格應用程序在容器內(nèi)實現(xiàn)橫向移動。從腳本setup_scope.sh中的base64編碼代碼中可以看出(SHA256：584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1)，TeamTNT的目標是包含WeaveDocker容器用戶帳戶信息。

圖4.TeamTNT腳本setup_scope.shbase64解碼代碼

圖5.為門羅幣挖掘而創(chuàng)建的本地Docker鏡像

ProjectJupyter

ProjectJupyter也列為TeamTNT操作的目標，首先是在search.sh腳本中作為憑證抓取的目標，其次作為beta橫向移動腳本spread_jupyter_tmp.sh(SHA256：0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究人員還在某TeamTNT人員的Twitter帳戶中發(fā)現(xiàn)了對Jupyter的引用。如圖6所示，內(nèi)容提到了某個遭入侵的Jupyter端點。

圖6.TeamTNT人員展示某個遭入侵的Jupyter端點

Peirates

Peirates工具被TeamTNT用于對AWS和Kubernetes的入侵操作，有多種功能，如圖7所示。該工具可以讓攻擊者調(diào)查和識別Kubernetes和云環(huán)境中的錯誤配置或潛在漏洞，并可以讓TeamTNT對云基礎設施執(zhí)行入侵行動。

圖7.Peirates滲透測試選項

門羅幣挖礦業(yè)務

TeamTNT在運營上仍然專注于加密劫持。前幾節(jié)介紹了TeamTNT用于擴展其加密劫持基礎設施的新技術(shù)的發(fā)現(xiàn)，以下部分將重點介紹用于執(zhí)行其加密劫持操作的過程相關(guān)的發(fā)現(xiàn)。

本地Docker鏡像

值得注意是腳本文件docker.container.local.spread.txt，其中列出了本地Docker映像的名稱，如圖8所示Docker映像是本地Docker映像，這意味著它不是從托管或外部下載的Docker存儲庫。研究人員在DockerHub中搜索了這個Docker鏡像的存在，但沒有找到。

圖8.docker.container.local.spread.txt的內(nèi)容

創(chuàng)建Docker容器是為挖礦操作提供主機。如圖5所示，創(chuàng)了一個名為mangletmpuser/fcminer的Docker鏡像，啟動該鏡像并導到Chimaera存儲庫文件setup_xmr.sh，(SHA256：5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904)，該文件將使用Docker容器中的開源XMRig應用程序啟動Docker加密挖掘過程。

新的門羅幣錢包

研究人員發(fā)現(xiàn)了一個新的門羅幣錢包地址，該地址與門羅幣公共礦池pool.supportxmr[.]com:3333相關(guān)聯(lián)，如圖9所示。

圖9.SupportXMR公共礦池配置

在圖10中，此礦池地址顯示TeamTNT挖礦操作已收集6.52012192門羅幣，涉及8臺礦機，此已持續(xù)了114天。對于TeamTNT這樣的組織來說，這個規(guī)模只能算是小型挖礦了。

圖10.SupportXMR礦池顯示

結(jié)論

我們建議在云環(huán)境中運行的組織，監(jiān)控并阻止與TeamTNT的Chimaera存儲庫以及歷史C2端點相關(guān)的所有網(wǎng)絡連接。使用云原生安全平臺將顯著減少云基礎設施的攻擊面，并允許組織監(jiān)控風險。

Unit42研究人員強烈推薦以下提示，以幫助保護云基礎架構(gòu)：

對所有云IAM角色和權(quán)限執(zhí)行最小權(quán)限IAM訪問策略。在適用的情況下，對服務帳戶使用短期或一次性IAM憑證。

監(jiān)控并阻止已知惡意端點的網(wǎng)絡流量。

只在生產(chǎn)環(huán)境中部署經(jīng)過審查的容器映像。

實現(xiàn)并使用基礎設施作為代碼(IaC)掃描平臺，以防止不安全的云實例部署到生產(chǎn)環(huán)境中。

使用支持治理、風險管理和遵從性(GRC)的云基礎設施配置掃描工具來識別潛在的危險錯誤配置。

使用云端點代理來監(jiān)控和阻止已知惡意應用程序在云基礎設施中的運行。

本文翻譯自：https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/如若轉(zhuǎn)載，請注明原文地址。