概述

在加密劫持攻擊中，對惡意工具或特定腳本的使用是幫助我們溯源攻擊團伙的重要指標之一，由于網絡時代信息的普及，工具或代碼之間的融合互用已變得非常常見，因此還需要C2設施、攻擊者所使用的完整工具集等信息幫助判斷。Unit42研究人員近期調查TeamTNT加密劫持團伙時，發現其新腳本中復制了WatchDog組織的命名習慣并劫持了WatchDog C2托管系統199.199.226[.]117。

繼續對TeamTNT腳本調查發現，該組織慣用的一些技術或行為方式都沒有出現，例如新腳本中：

· 沒有沿用慣用的攻擊模式，以Kubernetes(K8s)或DockerAPI目標，也沒有使用新惡意軟件工具Black-T和Hildegard。

· 入侵云實例后沒有提取任何憑據。

· 沒有使用網絡掃描工具zgrab。

這些新腳本是在TeamTNT的公共惡意軟件存儲庫中發現的，研究人員推測，TeamTNT可能是在通過模仿WatchDog將惡意行動栽贓給后者，從而混淆分析人員的視線。

竊取、劫持或合并TTPs（戰術、技術和過程）已成了加密劫持操作中的普遍趨勢。據報道，TeamTNT就曾從Kinsing組織的入侵實例中復制了用于檢測和刪除阿里云安全的代碼。此外，加密劫持組織Rocke和Pacha也曾為了爭云端Linux服務器領地而“大打出手”，Pacha模仿Rocke的惡意腳本，搜索Rocke入侵的系統，并在植入自身后鏟除Rocke使用的程序讓其再也無法連接，這場斗爭持續了近兩年的時間。

介紹

有兩個樣本體現了TeamTNT在模仿WatchDog的操作，這兩個樣本分別于2020年12月5日和11日出現，用新的C2直接替換了原本的WatchDog C2。如圖1所示，深藍色矩形中的是原始WatchDog C2，被淺藍色矩形中的新地址取代。

圖1.WatchDog基礎設施更換

TeamTNT沒有從腳本中完全刪除之前的C2地址，說明此樣本有可能只是劫持WatchDog C2的概念證明(PoC)。

新腳本還模仿了WatchDog操作中URL地址目錄樹模式，以及標志性目錄b2f628（紅色）和b2f628fff19fda999999999（橙色），如圖2所示。

圖2.URL目錄模式

這兩個樣本包含硬編碼的門羅幣錢包地址和關聯的礦池，如圖3所示。

圖3.門羅幣錢包和相關的礦池

如果這些變化確實是TeamTNT的作為，那么也代表TeamTNT首次使用傳統門羅幣礦池MoneroOcean[.]stream之外的礦池。兩個以前從未被TeamTNT參與者使用的新礦池被引入，分別是nanopool[.]org（如圖4所示）和f2pool[.]com（如圖5所示）。

圖4.Nanopool挖礦操作

圖5.F2pool挖礦操作

Nanopool礦池操作人的姓名，根據記錄共有20人，如圖6所示。

圖6.Nanopool挖礦操作人

兩個礦池共對應19個惡意樣本，其中有七個包含查找和殺死任意進程的指令，如果對應設備中含有TeamTNT標識的錢包地址的話。

圖7.使用TeamTNT門羅幣地址識別和殺死進程

然后腳本將重建挖礦操作并使用兩個WatchDog門羅幣錢包地址，圖8中列出的IP地址139.99.102[.]72解析為前面提到的xmr-asia1.nanopool[.]org礦池。

圖8.WatchDog門羅幣錢包地址

TeamTNT與WatchDog基礎設施的關聯

樣本36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce（見圖9）中具體調用的URL地址、電子郵件地址和門羅幣錢包都是已知的TeamTNT指標。

圖9.已知的TeamTNT妥協指標(IoC)

樣本8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a1a48c6中包含了新的WatchDog門羅幣錢包地址，如圖10所示。圖9中顯示的MOxmrigMODURL地址與已知的TeamTNTIoC相同，但是在這個樣本中，我們還看到了與TeamTNT基礎設施有很強聯系的其他URL地址，特別是那些涉及到域名oracle.zzhreceive[.]top的URL地址。

圖10.使用鏈接的TeamTNT基礎設施的新WatchDog IoC

這些新腳本（圖9和圖10）中的C2基礎設施都使用WatchDog目錄b2f628，有一個明顯的鏈接到TeamTNT基礎架構，域oracle.zzhreceive[.]top解析為IP地址199.19.226[.]117，這也是已知的TeamTNT子域zzhrecieve.anondns[.]net的解析IP地址。anondns[.]net域已被報告與多個TeamTNT活動相關聯。

【白嫖網安學習資料要不】

總結

以上是生活随笔為你收集整理的TeamTNT通过模仿WatchDog团伙来掩盖其加密劫持足迹的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。