Nhóm tin tặc TeamTNT xâm nhập hàng nghìn thiết bị bằng công cụ mã nguồn mở

13:00 | 25/09/2021 | HACKER / MALWARE

Nhóm nghiên cứu bảo mật của AT&T Alien Labs gần đây đã phát hành một báo cáo chi tiết về một chiến dịch mới với tên gọi Chimaera, được phát động bởi nhóm tin tặc TeamTNT, dựa trên các bản ghi nhật ký của máy chủ C&C. Các nhà nghiên cứu cho biết, chiến dịch được bắt đầu từ ngày 25/7, các công cụ được sử dụng bởi nhóm tin tặc đều là mã nguồn mở.

Nhóm tin tặc TeamTNT xâm nhập hàng nghìn thiết bị bằng công cụ mã nguồn mở

Hoạt động của nhóm TeamTNT lần đầu tiên được phát hiện vào năm 2020 với việc cài đặt phần mềm độc hại khai thác tiền điện tử trên các cùng chứa Docker tồn tại lỗ hổng. Các nhà nghiên cứu bảo mật tới từ Trend Micro và Cado Security phát hiện ra các hành động của nhóm như việc đánh cắp thông tin đăng nhập AWS để lây nhiễm nhiều máy chủ hay việc nhắm mục tiêu các cài đặt Kubernetes.

Theo quan sát của Alien Labs, TeamTNT đang nhắm mục tiêu tới Windows, AWS, Docker, Kubernetes, các bản phân phối Linux như Alpine. Hiện tại hàng nghìn thiết bị đã bị xâm nhập thông qua chiến dịch Chimaera của nhóm tin tặc.

Nhóm tin tặc này chủ yếu sử dụng các công cụ mã nguồn mở trong chiến dịch của mình như công cụ dò quét cổng Masscan, phần mềm libprocesshider để thực thi TeamTNT bot từ bộ nhớ, công cụ 7z để giải nén tệp, webshell b374k để kiểm soát hệ thống, công cụ Lazagne để thu thập thông tin đăng nhập.

Palo Alto Networks xác định nhóm đang sử dụng Peirates, một bộ công cụ kiểm thử thâm nhập đám mây để nhắm mục tiêu các ứng dụng dựa trên đám mây. Công ty cho biết: "Việc sử dụng các công cụ mã nguồn mở như Lazagne cho phép TeamTNT không bị phát hiện trong một khoảng thời gian, khiến các công ty chống virus khó phát hiện hơn".

Mặc dù có khá nhiều công cụ để tấn công hệ điều hành nhưng mục tiêu của nhóm TeamTNT là khai thác tiền điện tử. Alien Labs cho biết, có rất ít phần mềm diệt virus phát hiện ra phần mềm độc hại này được sử dụng bởi nhóm tin tặc nói trên.

Hương Mai

‹ › ×

Tin liên quan

Adobe phát hành mã nguồn mở 'one-stop shop' phát hiện các mối đe dọa bảo mật và dữ liệu bất thường

15:00 | 31/05/2021

Dự án mã nguồn mở phát hiện bất thường one-stop shop của Adobe trên GitHub, đã được phát triển để giúp phát hiện các bất thường trong tập dữ liệu dễ dàng hơn, cũng như cải thiện quá trình xử lý và định dạng dữ liệu nhật ký bảo mật.

Điều tra dấu vết cơ sở hạ tầng của nhóm tin tặc APT31

08:00 | 18/01/2022

Nhóm Thông tin tình báo mối đe dọa mạng của Công ty an ninh mạng châu Âu SEKOIA.IO (Pháp) vừa công bố những nghiên cứu chuyên sâu về vụ xâm nhập mà nhóm tin tặc APT31 thực hiện vào đầu năm 2021. Báo cáo đã tiết lộ, một số cơ sở hạ tầng hoạt động và các công cụ khai thác mà nhóm tin tặc này sử dụng.

10 công cụ thu thập thông tin thông minh mã nguồn mở phổ biến

08:00 | 22/02/2021

Internet đã trở thành một phần không thể thiếu đối với cuộc sống của con người, nó mang lại rất nhiều lợi ích như cung cấp những ứng dụng, thông tin trao đổi phục vụ công việc, học tập, giải trí... Tuy nhiên, người dùng Internet cũng phải đối mặt với nhiều rủi ro mất an toàn thông tin. Thông tin trên In-ternet của người dùng có thể bị sử dụng bởi người khác. Thông tin đó có thể ở nhiều dạng khác nhau như âm thanh, video, hình ảnh, văn bản hay tập tin.

Mã nguồn mở thực sự là công cụ đắc lực hay quả bom nổ chậm cho doanh nghiệp?

09:00 | 19/03/2024

Trong phiên bản thứ 9 của Synopsys, báo cáo Open Source Security and Risk Analysis (OSSRA) năm 2024 mang đến cái nhìn sâu rộng về tình hình hiện tại của an ninh mã nguồn mở, sự tuân thủ, cấp phép và các rủi ro về chất lượng mã nguồn trong phần mềm thương mại.

Tin tặc tuyên bố đã đánh cắp 60 GB dữ liệu từ Acer

09:00 | 04/11/2021

Một nhóm tin tặc tuyên bố đã đánh cắp hơn 60 gigabyte dữ liệu sau khi xâm nhập máy chủ của hãng công nghệ khổng lồ Đài Loan Acer.

Google công bố thư viện mã nguồn mở differential privacy để góp phần bảo vệ dữ liệu người dùng

09:00 | 23/10/2019

Thư viện mã nguồn mở differential privacy của Google sẽ cung cấp cho các tổ chức/doanh nghiệp (TC/DN) một cách để nghiên cứu dữ liệu của họ trong khi vẫn đảm bảo quyền riêng tư của người dùng.

Cảnh sát bắt giữ 12 tin tặc đứng sau 1.800 vụ tấn công ransomware trên toàn thế giới

17:00 | 05/11/2021

12 tin tặc đã bị bắt giữ trong khuôn khổ hoạt động thực thi pháp luật quốc tế vì đứng sau điều khiển các cuộc tấn công ransomware vào cơ sở hạ tầng quan trọng và các tổ chức lớn. Đã có hơn 1.800 nạn nhân trên 71 quốc gia kể từ năm 2019.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Lỗ hổng Opera Myflaw cho phép tin tặc thực thi tệp bất kỳ trên macOS và Windows

09:00 | 13/02/2024

Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.

Tin tặc Triều Tiên phát triển backdoor mới trên macOS

07:00 | 16/01/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.

Khám phá Trojan mới của BlueNoroff với mục tiêu tấn công người dùng macOS

17:00 | 22/12/2023

Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.