Trend Micro revela como age a gangue TeamTNT

A Trend Micro, fornecedora global de soluções de cibersegurança, realizou uma pesquisa sobre o TeamTNT, um dos mais persistentes grupos de hackers maliciosos, que iniciou uma série de campanhas em 2020 e início de 2021. A maioria dessas campanhas — embora variando as ferramentas, técnicas e finalidade — tinha como alvo ambientes em Nuvem.

O TeamTNT vem atacando de alguma forma desde 2011, mas foi só em 2020 que o grupo começou a chamar a atenção. Em abril do ano passado, lançou uma campanha de curta duração com o tema Covid-19, escolhendo palavras relacionadas à pandemia para suas URLs de ataque. “Um mês depois, a Trend Micro mapeou uma entrada sobre como o TeamTNT estava mirando portas de daemon abertas do Docker, para distribuir a mineração de criptomoedas. O grupo também provocou outra campanha, no final de 2020, com base no TNTbotinger, um bot de IRC (Internet Relay Chat) com recursos de Negação de Serviço Distribuído (DDoS). Este ano, focou ainda mais na Nuvem, abrangendo diferentes serviços e softwares baseados em Cloud”, comenta Rodrigo Garcia, diretor de Vendas da Trend Micro.

As rotinas de infecção do TeamTNT geralmente seguem um padrão, no qual o grupo faz o reconhecimento usando seu scanner para escolher as vítimas adequadas. Depois de reduzir seus alvos, ele verifica se há configurações erradas e outras falhas de segurança, que podem ser exploradas, tais como:

• Instâncias não seguras do Redis;
• Vulnerabilidades de dispositivos de Internet das Coisas (IoT);
• APIs de Docker expostas;
• Credenciais vazadas;
• Dispositivos acessíveis via Secure Shell (SSH).

Ao encontrar um sistema com falhas de segurança exploráveis, ele começa a entregar suas cargas, que incluem:

• Roubo de credenciais;
• Mineração de criptomoedas;
• Bots IRC;
• Scanners de redes locais;
• Conchas reversas/vinculadas

O roubo de credenciais é muitas vezes um dos objetivos do grupo, se não o principal. O TeamTNT utiliza uma série de técnicas em suas rotinas de captação de credenciais, com scritps próprios que contêm funções projetadas para procurar credenciais de serviços e softwares específicos. Também implementa mecanismos de persistência em algumas de suas expedições, garantindo que o usuário selecionado esteja configurado para ser acessado por SSH. Isso é feito para criar um método de retorno ao sistema após a infecção. Em muitos casos, os invasores implantam suas próprios chaves públicas SSH.

O uso crescente de serviços, software e infraestrutura baseados em Cloud tornou a Nuvem um alvo atraente para grupos como o TeamTNT. Um roubo bem-sucedido de credenciais em Nuvem ou uma rotina de mineração de criptomoedas acaba infectando todo o sistema e pode ter consequências de longo alcance em uma organização – especialmente em termos de interrupção operacional e até mesmo danos à reputação.

“Nosso trabalho acompanhando as atividades do TeamTNT é para garantir um olhar mais atento para um grupo de hackers focado na Nuvem. Temos como objetivo ajudar as empresas a entender como o grupo realiza suas atividades e oferecer insights e recomendações para evitar os ciberataques, finaliza Garcia.

Serviço
www.trendmicro.com