Black-T

Description de Black-T

Black-T est une menace de malware cheval de Troie utilisée dans le cadre de l'arsenal d'un groupe de hackers appelé TeamTNT. Initialement, l'activité principale de TeamTNT était la distribution de mineurs de crypto-monnaie pour la crypto-monnaie Monero. Les pirates ont scanné le net pour les installations Docker avec une sécurité insuffisante et les ont compromises en fournissant une charge utile de crypto-mineur.

Cependant, les chercheurs en cybersécurité ont remarqué que le groupe TeamTNT diversifiait sa gamme d'opérations et élargissait et modifiait sa boîte à outils contre les logiciels malveillants. Premièrement, les pirates ont donné à leur ver crypto-jacking la possibilité de collecter des informations d'identification Amazon Web Services (AWS) en texte clair et des fichiers de configuration à partir des systèmes Docker ou Kubernetes compromis. Ensuite, le groupe de cybercriminels a été observé en train d'exploiter un outil open source légitime appelé Weave Scope. L'outil a permis aux pirates de prendre le contrôle complet de l'infrastructure cloud de la victime, ainsi que de cartographier les processus en cours d'exécution, les conteneurs et les hôtes sur les serveurs compromis.

Collecte de mots de passe grâce au grattage de mémoire

La dernière version de l'outil de malware de TeamTNT, appelée Black-T par les chercheurs d'Unit42 a été analysée, et elle se vantait d'un éventail encore plus large de fonctions menaçantes. En utilisant deux outils open source - mimipy et mimipenguin, dont le concept est similaire à l'outil de collecte de mots de passe Mimikatz, Black-T cible les ordinateurs * NIX. L'objectif est de récupérer la mémoire des systèmes compromis pour tout mot de passe en clair qui est ensuite envoyé à l'infrastructure de commande et de contrôle (C2, C&C). Semblable à la collecte d'informations d'identification AWS, TeamTNT est susceptible d'utiliser les mots de passe pour des activités menaçantes supplémentaires contre la victime compromise.

Black-T a cependant un autre ajout à son répertoire, sous la forme d'un scanner de réseau GoLang appelé zgrab, portant le nombre total de scanners à trois. Les deux autres sont pnscan et masscan. Un petit indice que TeamTNT pourrait envisager de faire des appareils Android l'une de ses cibles est que le masscan de Black-T a été mis à jour et cible désormais le port TCP 5555.