自 9 月初以来,AquaSec 的威胁分析师已经在他们的蜜罐上发现了 TeamTNT 活动的迹象,这使他们相信臭名昭著的黑客组织又开始行动了。
TeamTNT 宣布它将于 2021 年 11 月退出,事实上,从那时起,大多数相关观察都涉及过去感染的残余,如自动化脚本,但没有新的有效载荷。
然而,最近的攻击带有与 TeamTNT 相关的各种特征,并依赖于该团伙先前部署的工具,这表明威胁行为者很可能卷土重来。
针对比特币加密
研究人员观察到据称新的 TeamTNT 攻击中使用了三种攻击类型,其中最有趣的一种是利用被劫持服务器的计算能力来运行比特币加密求解器。
由于使用 Pollard 的 Kangaroo WIF 求解器,该攻击被命名为“袋鼠攻击”,该攻击扫描易受攻击的 Docker 守护程序,部署 AlpineOS 映像,删除脚本(“k.sh”),并最终从 GitHub 获取求解器。

Pollard 的袋鼠区间 ECDLP(椭圆曲线离散对数问题)求解器算法试图破解比特币公钥密码学中使用的SECP256K1 加密。
“它 [算法] 旨在以分布式方式运行,因为该算法将密钥分成块并将它们分发到各个节点(被攻击的服务器),收集结果,然后在本地写入文本文件,” AquaSec 解释道。
虽然量子计算有望在未来的某个时候打破现有的比特币加密,但用当前的机器实现它被认为是不可能的,但 TeamTNT 似乎愿意使用其他人的资源来尝试这个理论。
很可能,威胁参与者只是在尝试新的攻击途径、有效载荷部署和规避检测,同时对捕获的系统执行密集操作,而袋鼠攻击则满足了所有要求。
其他攻击类型
AquaSec 观察到的其他攻击类似于 过去的 TeamTNT 操作 ,但现在具有一些新特征。
“Cronb 攻击”使用记录在案的 rootkit、用于持久性的 cron 作业、用于盈利的加密矿工以及用于横向移动的工具。新颖的元素是新的 C2 基础设施地址的出现和更精细的数据交换。
接下来,入侵者下载并执行额外的脚本、rootkit 和一个加密矿工,同时他们还添加了 cronjobs 并在网络上执行 SSH 扫描。

这种攻击中的一个新技巧是通过这些脚本引入的,使威胁参与者能够通过修改架构的 CPU 模型特定寄存器来优化加密性能。

无论是执行这些攻击的 TeamTNT 还是其他人,组织都应该提高他们的云安全性,加强 Docker 配置,并在为时已晚之前应用所有可用的安全更新。