الفئة: استخبارات الخصمالصناعة: تكنولوجيا المعلومات والتكنولوجياالمنطقة: عالميالمصدر: A2

ملخص تنفيذي

تهديدTTPsأدوات

• قامت مجموعة الجهات الفاعلة في مجال التهديد، TeamTNT، باختراق العديد من مثيلات السحابة والبيئات الحاوية.
• تتضمن قائمة الأهداف دوكر وخادم ريديس وأوس وكوبيرنيتيس.

• الاستطلاع
• سرقة بيانات الاعتماد
• تثبيت الأبواب الخلفية وسارق برامج الروت كيت وشبكات الروبوت وعمال المناجم
• حافظ على الوصول والتحرك أفقيًا
• التعدين الخفي

• أدوات فحص الشبكة/المنفذ
• ثنائيات ضارة
• باكرز آند كريبترز
• سارقو أوراق الاعتماد
• خدمات PWN عن بعد

التحليل والإسناد

التاريخ

• يستخدم TeamTNT عنوان تويتر «@»هيلديت نت /هيلدغارد @TeamTNT»
• خلال فترة الهجوم، كانت المجموعة نشطة جدًا على تويتر، حيث نشرت وناقشت:
  • الهجمات التي أجريت
  • تم اختراق الخوادم
  • الأدوات المستخدمة
• من المرجح أن تكون المجموعة من ألمانيا للأسباب التالية:
  • توجد معظم التغريدات ونصوص bash في ألماني اللغة.
  • تم تعيين موقع الحساب على ألمانيا.
  • تحتوي التعليقات في نصوص bash على كلمات من ألماني اللغة.

معلومات من OSINT

• تشير التغريدة التالية التي تم نشرها على الحساب الرسمي للمجموعة إلى أنها مجموعة مكونة من 12 فردًا (أو أكثر إذا قاموا بتعيين أشخاص جدد في أواخر عام 2020).

[معرف التسمية التوضيحية = «المرفق _20458" aligncenter «العرض ="1198"] تغريدة TeamTNT حول إدارة مجموعة من 12 مبرمجًا [/caption]

• فريق تي إن تي جيثب يحتوي الملف الشخصي على 25 مستودعًا عامًا، معظمها عبارة عن شوكات لأدوات الفريق الأحمر الشهيرة والمستودعات الأخرى التي ربما تستفيد منها.
• تم استخدام المجال التالي من قبل المجموعة لاستضافة الملفات والبرامج النصية الضارة أثناء تنفيذ الهجوم: https://teamtnt[.]red.
• تمكن باحثو CloudSek من جمع المعلومات التالية حول المجال:
  • تم تسجيل النطاق في 10 فبراير 2020
  • خلال نفس الوقت، بدأت TeamTNT في استهداف خوادم Redis بنشاط.
  • النطاق غير نشط حاليًا
  • لا تزال بعض لقطات الشاشة الخاصة بالنطاق متاحة على آلة واي باك

الجدول الزمني لفريق TNT

[معرف التسمية التوضيحية = «المرفق _20459" align= «alignnone» width="2048"] الجدول الزمني لحدث TeamTNT [/caption]

هجمات ريديس (فبراير 2020)

• كانت المجموعة نشطة منذ فبراير 2020 عندما أطلقت حملتها الأولى التي تستهدف خوادم Redis.

[معرف التسمية التوضيحية = «المرفق _20460" aligncenter «العرض ="2048"] تدفق الهجوم لاستهداف خادم Redis [/caption]

• كان الدافع وراء الهجوم هو التعدين الخفي وتم استخدام الأدوات التالية:
  • جهاز المسح الضوئي - ماسح ضوئي للشبكة المتوازية مفتوح المصدر، يُستخدم لمسح الإنترنت بالكامل والبحث عن الخدمات التي تستمع على منفذ Redis الافتراضي (المنفذ: 6379). يقوم البرنامج النصي للإعداد بإنشاء الحمولة التي يتم تنفيذها على خوادم Redis.
  • تسونامي - بوت نت مفتوح المصدر، يُعرف أيضًا باسم titan أو زيغي ستارتوكس، تُستخدم لتنفيذ هجمات DDoS ضد الأهداف أو لتنفيذ الأوامر على الجهاز المصاب.
  • XMRIGCC - أداة تستخدم لتعدين العملات المشفرة.
  • كلب الحراسة. - نوع من أدوات المراقبة المستخدمة في Linux لمراقبة عملية التعدين.
  • Punk.py - أداة ما بعد الاستغلال تهدف إلى مساعدة الشبكة على الانتقال من صندوق Unix المخترق. تجمع هذه الأداة أسماء المستخدمين ومفاتيح SSH بالإضافة إلى المضيفين المعروفين من نظام Unix ثم تحاول الاتصال عبر SSH بجميع المجموعات الموجودة.

[معرف التسمية التوضيحية = «المرفق _20461" align= «alignnone» width="2048"] تفصيل تفصيلي لنص الإعداد المستخدم في حملة Redis [/caption]

هجمات دوكر (مايو 2020)

• في مايو 2020، بدأت المجموعة في استهداف Docker من خلال استخدام نفس نصوص Bash والبرامج الضارة.
• وظل الدافع الأساسي للمجموعة هو نفسه، أي التعدين الخفي.
• تمت إضافة أداة جديدة إلى ترسانتها:
  • ماسكان - يتم استخدام ماسح منفذ TCP للعثور على خدمات Docker التي تم تكوينها بشكل خاطئ عن طريق فحص المنافذ والخدمات المكشوفة. بمجرد تحديد مكان الضحية، باستخدام Masscan و انتزاع، يقوم المهاجم بإنشاء حاوية باستخدام صورة Alpine ويمرر وسيطة إلى البرنامج النصي الذي يقوم بتنزيل البرامج النصية الضارة الأخرى وتنفيذها.

[معرف التسمية التوضيحية = «المرفق _20462" align= «alignnone» width="2048"] استهداف مثيلات Docker باستخدام برنامج Bash النصي [/caption]

هجمات Docker المرتجلة (أغسطس 2020)

• واصلت المجموعة هجماتها على Docker ولكنها بدأت في استخدام صور Ubuntu مباشرة بدلاً من Alpine.
• بدأت المجموعة باستخدام برنامج rootkit لوحدة نواة لينكس (LKM) المسمى ديامورفين لإخفاء أنشطتهم على الأجهزة المصابة.
• تمت إضافة إمكانات سرقة بيانات اعتماد AWS إلى البرامج النصية الخاصة بهم.

هجمات ويفيسكوب (سبتمبر 2020)

• تمت إضافة TeamTNT وبدأت في الاستغلال ويفيسكوب لاستكشاف الأخطاء وإصلاحها والاستفادة منها كباب خلفي لما يلي:
  • الحصول على وصول كامل إلى بيئة السحابة الخاصة بالضحية
  • مراقبة Docker وKubernetes ونظام التشغيل السحابي الموزع (DC/OS) وسحابة AWS Elastic Compute Cloud (ECS)
  • تشغيل أوامر shell
• بدأت المجموعة في استخدام أداتين جديدتين لسرقة بيانات الاعتماد من سجل المتصفح واتصالات الشبكة:
  • تقليد
  • ميميبينجوين
• بدأت المجموعة أيضًا في استخدام تشفير بسيط لوقت تشغيل لينكس ELF، إزوري، لتشفير البرامج الضارة الخاصة بهم للتهرب من الاكتشاف.

هجمات كوبيرنيتيس (يناير 2021)

• أصدرت Lacework Labs تقريرًا عن تسونامي (الروبوت المستخدم من قبل TeamTNT) مع ذكر التفاصيل التالية:
  • تم اكتشاف 90 فقط من أصل 200 روبوت متصل بعناوين IP فريدة من البرامج النصية السابقة.
  • كانت بعض برامج الروبوت التي تقف وراء خدمة NAT تشترك في نفس عنوان IP الخارجي.
  • كانت غالبية أجهزة الكمبيوتر المتأثرة عبارة عن مثيلات سحابية آسيوية استضافتها بشكل أساسي Tencent و Alibaba و AWS.
• خلال هذه الفترة، توقفت المجموعة عن مهاجمة مثيلات Redis وبدأت في استهداف Kubernetes.
• تم استخدام ثلاث أدوات جديدة من قبل المجموعة:
  • القراصنة - أداة اختبار اختراق Kubernetes مفتوحة المصدر
  • كلاهما - أداة مفتوحة المصدر لتحليل الحاويات واستغلالها لـ Kubernetes
  • دليل عملية الليب - أداة مفتوحة المصدر تستخدم أداة التحميل المسبق للمعرف لإخفاء عملية في Linux.

زيادة قدرات سرقة بيانات الاعتماد (يونيو 2021)

• ظلت قائمة أهداف المجموعة كما هي لكنها وسعت قدراتها على سرقة بيانات الاعتماد إلى الخدمات والتطبيقات التالية.

AWS Shodan PostgreSQL 3 دلاء gcpsmb dockerngrokhex الدردشات shmonerogi ملف المحفظة Zillada VFS2 Github

• لقد أضافوا المكون الإضافي لـ AWS CLI في البرنامج النصي الخاص بهم لاستخراج أقصى قدر من المعلومات حول المثيل بما في ذلك الموارد والمثيل والأدوار والأحجام وما إلى ذلك.

حملة تشيميرا (يوليو 2021)

• في 25 يوليو 2021، أطلقت TeamTNT حملة باسم «Chimaera» حيث واصلت هجماتها على خدمات Docker و Kubernetes و Weavescope.
• للحفاظ على الشفافية، أنشأت المجموعة لوحة تحكم على موقع الويب الخاص بها تعرض إحصائيات الحملة.

[معرف التسمية التوضيحية = «المرفق _20463" align= «alignnone» العرض = «845"] لوحة معلومات حملة Chimaera لعرض الإحصائيات على موقع الويب [/caption]

• قامت المجموعة بتحسين تقنية التعداد بشكل كبير من خلال إضافة أكثر من 70 أمرًا فريدًا من أوامر AWS CLI مصممة لتعداد خدمات AWS السبعة التالية:
  • تكوين IAM
  • مثيلات EC2
  • جرافات S3
  • حالات الدعم
  • اتصال مباشر
  • كلاود تريل
  • تكوين السحابة
• كما بدأوا في التوظيف لازين، وهو تطبيق آخر مفتوح المصدر، لتعزيز قدراتهم على سرقة بيانات الاعتماد.

التقنيات والتكتيكات والإجراءات (TTPs)

[معرف التسمية التوضيحية = «المرفق _20464" align= «alignnone» العرض = «1677"] TTPs المستخدمة من قبل TeamTNT [/caption] استخدمت TeamTNT بشكل أساسي نفس الاستراتيجيات في جميع حملاتها، ولكنها فعلت ذلك من خلال إجراء التعديلات التالية على أساليبها:

• التلاعب بالحساب عن طريق إضافة SSH authorized_keys الخاصة بهم على الخوادم المخترقة.
• تثبيت ماسح ضوئي لمسح الشبكة الداخلية بالكامل بحثًا عن الحركات الجانبية.
• استخدام أدوات مراقبة العمليات لإعادة تشغيل العمليات.
• استخدام البرامج النصية لتثبيت جميع أنواع الأدوات والبرامج الضارة وعمال المناجم.
• تعبئة الثنائيات للتهرب من الفحوصات الأمنية العادية.
• استخدام التشويش والتشفير في نصوص bash وأثناء الاتصال من خلال خوادم C2.
• استخدام برامج الروت كيت على مستوى النواة لإخفاء عمليتها.
• نشر الحاويات الخاصة للهجمات والتعدين.
• استخدام بيانات اعتماد الخدمة السحابية لسرقة البيانات.
• اختطاف الموارد ونشر صور XMrig Docker لتعدين العملة المشفرة.

الأدوات وعمليات الاستغلال

استخدم TeamTNT في الغالب أدوات مفتوحة المصدر واعتمد بشكل كبير على نصوص bash لإدارة جميع الأدوات. يحتوي الجدول أدناه على قائمة الأدوات المستخدمة من قبلهم لإجراء أنشطتهم. الأدوات وعمليات الاستغلال

أدوات مسح الشبكة والمنافذ

باكرز آند كريبترز

PnscanماسكانانتزاعإيزوريUPX

ثنائيات ضارة

سارق بيانات الاعتماد

تسونامي (برنامج IRC bot الضار) XMRIGCCديامورفينإخفاء عملية الليبراثولPunk.pyلازينتقليدميميبينجوين

خدمات CPWN عن بعد (ريديس، دوكر، كوبيرنيتيس)

في الغالب استخدموا البرامج النصية المخصصة لامتلاك خدمات مثل Redis و Kubernetes القراصنةكلاهماأداة دوكر إسكيب (CVE-2019-5736)

مؤشرات التسوية (IOCs)

شا256setup.shb5ba2c86ebf85cbf700c83d7edc034717d7ee08e84fbae440a38139c15ef7a27 هيئة الرقابة (32 بت) 69FE980538 a12 ac0791f0801 F93d8B4D16E8329793d635221 a16f935e8e8CA07xmMiner (32 بت) 4256402 fc04e49f3d8d1 bf88 efca6a3b03f4b881777d2c32a8 df364 ca8d364c836 bfconfig.82 db68b1d91a17 ca6 afde8a8 ae81357116 c35c4c4c129888a836 bfconfig.json 285e91d3d578 fc66 65 سي 70 دي 457 f602 د 572203 ب 04c281 c03b4 bf9103a5f61fdo.sh9c29d4ecf6a60e7bfc0afba7a7a18 afba7a669a18 afb440730711367 d1c715042b5f755 ساعة داتشد د (64 بت) اف دي 26 بت 59 بي 57844اف 755 جهاز تعدين المعادن طراز 43D1E5EE2EFA93C59A717Fe2AE1D82BF3F016D3Xالتصوير بالرنين المغناطيسي (62 بت) b6f57f8a7fba70d 6660335828d2a14029 c88079a8176 dca2c63281 a759 fd84calog.c59a2101b05225dd0eb7e7e7e7b 357540723e3 c1d8a10e83e9715 a10fb التنظيف الكامل 6a1221f2b2bf13 dc8112795 d3edf731 بابا 8df7a9d4af69b89d4ac31e87e5 نارينكبي. sha25a73af06c43a20eb9f4f8b 8b67357 c3c 74143 ccf97ce666446296 a360d93f931fpunk. بيا 66140870d0a71c71e4a85858e6b 33 e4a21 be637b94d41833 dee8383s_por.ssh.sh1 eead 4 f456 ed8741 d1 de821e2fccb026c1cbbf3477786 cc3e637 ec05811 f46 من هو 2.irc.sh795a3d99c1e8e8 e8e8 e8 e34a6228d95 c4435 c5ed786 dc866 dc0e303 f9788 e6f055b1a7ac6 من هو.irc205db0ef59 cad167c6132916 f8f7a1d1963 e740 b36400419b2e5b307e9f765 cdns307377cac8687a4cde6e29bc00314c265c7ad71a6919de91f689b58efe07770b0init.sh (البرنامج النصي الثاني) 5c488d9d6820f859cde5d147cde5d147cfe584a603152653d12e720b897d60c6f810clean.sh6b8d828511 b479e3278264eff68059f03b3b8011f9a6aeff2af06b13b6090 mxutzh.sh89266 fe72f6ab2f9229 a72e344 fcb64a880a40db20f9a71ba0d92de92de9c14497b6إعداد ألعابي. shb60be03a7305946a5b1e2d22a4f8e3f93a55e1d7637 bb58bf2de19a6cf4 إعداد.xmrig.curl.curl.1 شبيبا ac2b1d72a189c98d00f4988b24x72ae9348c49f62d16b433 b05332sc7 f16f168087 ec77f1678011 f753 ddf4531 a484009 f3c64563 d96eff0eda0 dd0dd0dd0ddd29 بورتورينت ب49a3f3f3c4c70014e2e2e2 سي 35 سي 880 ديسيبل 47 ديسيبل 475584 ب 87 ب 7 دي اف سي اف 6 دي 741 د 42 أ 16 ب 443 ت. ش 2 سي دي 98579162 ab165623241719 b2ab33ac40f0b5d0a8 b7e7067 c7aebc 530172 aws.sh8 cedd6187439 f73675b076d70647 ee117ec3a4184aa5045499a6172ae6e6e6c2c39 grab_aws -data.sha1e9cd08073e4af3256b31e4e4b42f3a69be40862 b3988 f96228 f91236593 بوصة بوصة sh4e0593e599757226 f93e8dcfb794 dcd4bda60f0e553 bbef47b8b7c82d2bsearch.shed 40 bc040778e2227c869 dac 59f54c320944e19 f77543954 f40019e2f2b0c35 إعداد _مينير_المحيطات. sh5923 f20010c7c1d59a7c1d59a36b41c84c84c84c84c84c842e64a65acdc8243e827 (ب) 537 (ب)الدومين/ IPv4خادم الترشيح 123.56.193 [.] 119 مينر CC54.203.159 [.] 179C280.211.206 [.] 105 164.68.106 [.] 96 62.234.121 [.] 105استضافة البرامج النصية والثنائيات الضارة 85.214.149 [.] 236 45.9.148 [.] 108 5.9.148 [.] 35 نطاق/بريد إلكتروني/فريق tnt [.] اقرأ كاميرا [.] cc هيلدا @teamtnt [.] اقرأالمحفظ/المفاتيحالمحافظ 88 ZRGNVZ687 WG8 عبر بروتوكول الإنترنت من نوع JCvrwl8YFMRX Tipswaqr NZ5ZJ بروز بي إس جي آر سيفورن1QG7JN7WPRQSA3C8 إيدا إيدان 4xi4k 84 دي جي 9 مللي جي إس كيه إف إكس كيه كيو إتش كيو بي آر 6 إي بي 6 تي إف إتش آر 3 بي تي بي 8 دراي تي إم إن 5 إس 8 آر جي إم إن إف آر سي NCE 7 أيام 8 EDLKK 3TQASHU2N 4W3A3XJK ماكس 4x8Q3KGZNH 46 وحدة حماية البيئة (بي إف إكس)، 5 جيجا هرتز، 61 جيجا بايت، بي إن سي آر إن إم، 8 كيلو فولت، 8 ميجا هرتز، 9 فولت، كروك، إكس آر جي إكس 27 إكس W2Y1n PLFSA 54DGHxQNKFZUVW 1JZBFEKK3 HRCVC MAURFD3 HSSH - RSA (مفتاح) AAAAB3NZAC1YC2EAAAAAAAAAAQABAQDZB 9Hz7BNT6QQK لوحة تحكم CMCITA AXEB9+عدسة الكاميرا RH6HG3CCSMG9QNS/LMW5SW WLJQXMB5WUHCLPJSVAWUP+PFSM1ZIGF2NCZEW5KBW1O5FL/ 6 وات × 1 × 9 وات × 5 وات × 3 لتر × 5 وات وات يو بي 5 لتر × 5 لتر تيار متردد 59 لتر × 2 وات في الدقيقة AIOR1KNTCBPهو Nybz4FWAQVGWXZUZ/ZE7SYOOM3EJIHP بيتوليوم ZC7TZRNEN 9M3U8K+LVFYE+WDESC3 WNYWFJGQJA 4 أفانو أوز 89 جيجا بايت 77 جيجا بايت 7 جيجا بايت رام 8 جيجا بايت إن إف جي إف إف جي 6 أوند زد دبليو بي 2 سي زد دبليو إس آي في جي إف إس دي تي إل 6690s407 eQOES 7 كيلووات جودو 9 كيو إكس إن 9 إس إن 9 عرض إكس إن في

المراجع

• *مصدر الذكاء وموثوقية المعلومات - ويكيبيديا
• ^#بروتوكول إشارات المرور - ويكيبيديا
• انفجار تعدين العملات المشفرة TeamTNT 🧨 - انتيزر
• يقوم TeamTNT ببناء الروبوتات من خوادم السحابة الصينية - Lacework
• سيتوس: عمل تعدين العملات المشفرة يستهدف دوكر دايمونز
• فريق TNT - أول دودة لتعدين العملات المشفرة تسرق أوراق اعتماد AWS

الملحق

[معرف التسمية التوضيحية = «المرفق _20465" align= «alignnone» العرض = «1167"] مثال على استخدام TeamTNT للغة الألمانية على وسائل التواصل الاجتماعي [/caption] [معرف التسمية التوضيحية = «المرفق 20466" align= «alignnone» width="2048"] مستودعات GitHub لمجموعة TeamTNT [/caption] [معرف التسمية التوضيحية = «المرفق _20467" align= «alignnone» العرض = «1095"] نص DNS الذي استخدمه TeamTNT أثناء حملة الهجوم على مثيلات عامل الإرساء [/caption] [معرف التسمية التوضيحية = «المرفق 20468" align= «alignnone» width="2048"] استضافت برنامجًا نصيًا لامتلاك مجموعات Kubernetes [/caption] [معرف التسمية التوضيحية = «المرفق 20469" align= «alignnone» width="2048"] معلومات المحفظة المستخدمة من قبل TeamTNT [/caption] [معرف التسمية التوضيحية = «المرفق 20470" align= «alignnone» width="2048"] إعلان TeamTNT الرسمي عن إنهاء عملياتها [/caption] [معرف التسمية التوضيحية = «المرفق _20471" align= «alignnone» العرض = «640"] برنامج نصي للإعداد يقوم بإنشاء برنامج نصي shell لعملية الإخفاء. [/التسمية التوضيحية] [معرف التسمية التوضيحية = «المرفق _20472" align= «alignnone» العرض = «622"] وحدة سرقة بيانات اعتماد SSH [/caption] تنزيل البرنامج النصي وتثبيته لعمال المناجم [معرف التسمية التوضيحية = «المرفق _20474" aligncenter «العرض ="874"] استخدم TeamTNT بعض الكلمات الرئيسية لـ buzz covid-19 في نصوصه (في وقت الحملة كان Covid-19 في ذروته) [/caption] [معرف التسمية التوضيحية = «المرفق _20475" align= «alignnone» العرض = «964"] برنامج نصي لإعداد ديامورفين [/caption] [معرف التسمية التوضيحية = «المرفق _20476" align= «alignnone» width="1150"] البرنامج النصي لملف mxutzh.sh [/caption] [معرف التسمية التوضيحية = «المرفق _20477" align= «alignnone» width="1114"] مقتطف الشفرة الذي يصيب خوادم Docker بحاويات لتعدين Monero [/caption] [معرف التسمية التوضيحية = «المرفق 20478" align= «alignnone» العرض = «1150"]إضافة في البرنامج النصي لسرقة المزيد بيانات الاعتماد [/caption]