Malware Black-T: Nueva variante de Cryptojacking de TeamTnt
AS-18-2020
Fecha: 7/Oct/2020
Resumen:
Los investigadores de la Unidad 42 descubrieron una nueva variante de malware de criptojacking llamada Black-T, creada por TeamTnT, un grupo conocido por apuntar a archivos de credenciales de AWS en sistemas en la nube comprometidos y de minería de crypto monedas(XMR). Black-T sigue las tácticas y técnicas tradicionales de TeamTnT y procedimientos (TTP) para apuntar a las API del demonio Docker que están expuestas y realizar operaciones de escaneo y criptojacking en sistemas vulnerables de las organizaciones afectadas.
Indicadores de compromiso
URLs
hxxps://teamtnt[.]red
hxxps://teamtnt[.]red/BLACK-T/beta
hxxps://teamtnt[.]red/BLACK-T/CleanUpThisBox
hxxps://teamtnt[.]red/BLACK-T/setup/bd
hxxps://teamtnt[.]red/BLACK-T/setup/docker-update
hxxps://teamtnt[.]red/BLACK-T/setup/hole
hxxps://teamtnt[.]red/BLACK-T/setup/kube
hxxps://teamtnt[.]red/BLACK-T/setup/tshd
hxxps://teamtnt[.]red/BLACK-T/SetUpTheBLACK-T
hxxps://teamtnt[.]red/BLACK-T/SystemMod
hxxps://teamtnt[.]red/ip_log/getip[.]php
hxxps://teamtnt[.]red/only_for_stats/dup[.]php
hxxps://teamtnt[.]red/x/getpwds[.]tar[.]gz
hxxps://teamtnt[.]red/x/pw
hxxps://iplogger[.]org/blahblahblah
Para proteger los sistemas en la nube del malware de Criptojacking Black-T de TeamTnT, las organizaciones deben realizar la siguiente acción:
Asegúrese de que los entornos en la nube no expongan las API del demonio de Docker ni ningún otro servicio de red, que de forma inadvertida expone servicios de red internos sensibles.
Referencias:
