🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Inteligência do adversário

Cronograma e HTTPS do TeamTNT Cybercrime Group

O grupo de agentes de ameaças, TeamTNT, comprometeu várias instâncias de nuvem e ambientes em contêineres. A lista de alvos inclui Docker, servidor Redis, AWS e Kubernetes.
Updated on
April 17, 2026
Published on
August 25, 2022
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.
Categoria: Inteligência do adversárioIndústria: TI e tecnologiaRegião: GlobalFonte: A2

Sumário executivo

AMEAÇATTPsFERRAMENTAS
  • O grupo de agentes de ameaças, TeamTNT, comprometeu várias instâncias de nuvem e ambientes em contêineres.
  • A lista de alvos inclui Docker, servidor Redis, AWS e Kubernetes.
  • Reconhecimento
  • Roubo de credenciais
  • Instalação de backdoors, roubos de rootkits, botnets e mineradores
  • Mantenha o acesso e a movimentação lateral
  • Criptojacking
  • Ferramentas de varredura de rede/porta
  • Binários maliciosos
  • Embaladores e criptadores
  • Ladrões de credenciais
  • Serviços remotos PWN

Análise e atribuição

História

  • O TeamTNT usa o nome de usuário do Twitter “@”.NT infantil /HildeGard @TeamTNT”
  • Durante o período de ataque, o grupo foi muito ativo no Twitter, postando e discutindo:
    • Ataques realizados
    • Servidores comprometidos
    • Ferramentas empregadas
  • O grupo provavelmente é originário da Alemanha porque:
    • A maioria dos tweets e scripts do bash estão no alemã idioma.
    • A localização da conta está definida como Alemanha.
    • Os comentários nos scripts bash contêm palavras do alemã idioma.

Informações da OSINT

  • O Tweet a seguir, feito na conta oficial do grupo, sugere que se trata de um coletivo de 12 indivíduos (ou mais, se eles contrataram novas pessoas no final de 2020).
[caption id="attachment_20458" align="aligncenter” width="1198"]TeamTNT’s Tweet about managing a group of 12 programmers Tweet da TeamTNT sobre como gerenciar um grupo de 12 programadores [/caption]
  • Equipe TNT's Github O perfil contém 25 repositórios públicos, a maioria dos quais são bifurcações das populares ferramentas de equipe vermelha e outros repositórios possivelmente utilizados por elas.
  • O domínio a seguir foi usado pelo grupo para hospedar seus arquivos e scripts maliciosos durante a execução do ataque: https://teamtnt[.]red.
  • Os pesquisadores do CloudSEK conseguiram reunir as seguintes informações sobre o domínio:
    • O domínio foi registrado em 10 de fevereiro de 2020
    • Durante o mesmo período, a TeamTNT começou a atacar ativamente os servidores Redis.
    • O domínio está atualmente inativo
    • Algumas capturas de tela do domínio ainda estão disponíveis em Máquina Wayback

Cronologia da TeamTNT

[caption id="attachment_20459" align="alignnone” width="2048"]Event Timeline of TeamTNT Cronograma do evento da TeamTNT [/caption]

Redis Attacks (fevereiro de 2020)

  • O grupo está ativo desde fevereiro de 2020, quando lançou sua primeira campanha direcionada aos servidores Redis.
[caption id="attachment_20460" align="aligncenter” width="2048"]Attack flow for targeting the Redis server Fluxo de ataque para atingir o servidor Redis [/caption]
  • O motivo por trás do ataque foi o cryptojacking e as seguintes ferramentas foram usadas:
    • pnscan - Um scanner de rede paralela de código aberto, usado para escanear toda a Internet e procurar os serviços de escuta na porta Redis padrão (porta: 6379). O script de configuração gera a carga que é executada nos servidores Redis.
    • Tsunami - Um botnet de código aberto, também conhecido como titan ou ziggy startux, usado para realizar ataques de DDoS contra alvos ou para executar comandos na máquina infectada.
    • XMR igcc - Uma ferramenta usada para minerar criptomoedas.
    • watchdog.c - Um tipo de ferramenta de monitoramento usada no Linux para monitorar o processo de mineração.
    • Punk.py - Uma ferramenta pós-exploração destinada a ajudar a rede a sair de uma caixa Unix comprometida. Essa ferramenta coleta nomes de usuário, chaves SSH e hosts conhecidos de um sistema Unix e, em seguida, tenta se conectar via SSH a todas as combinações encontradas.
[caption id="attachment_20461" align="alignnone” width="2048"]Detailed breakdown of the setup script used in Redis campaign Análise detalhada do script de configuração usado na campanha Redis [/caption]

Docker Attacks (maio de 2020)

  • Em maio de 2020, o grupo começou a atacar o Docker empregando os mesmos scripts Bash e malware.
  • O motivo principal do grupo permaneceu o mesmo, ou seja, o cryptojacking.
  • Uma nova ferramenta foi adicionada ao seu arsenal:
    • massacre - Um scanner de portas TCP usado para encontrar serviços Docker mal configurados examinando portas e serviços expostos. Uma vez que a vítima é localizada, usando masscan e agarrar, o atacante cria um contêiner usando a imagem Alpine e passa um argumento para o script que baixa e executa outros scripts maliciosos.
[caption id="attachment_20462" align="alignnone” width="2048"]Targeting Docker Instances using a Bash script Como segmentar instâncias do Docker usando um script Bash [/caption]

Ataques improvisados do Docker (agosto de 2020)

  • O grupo continuou seus ataques ao Docker, mas eles começaram a usar as imagens do Ubuntu diretamente em vez do Alpine.
  • O grupo começou a usar um rootkit Linux Kernel Module (LKM) chamado Diamorfina para ocultar suas atividades em máquinas infectadas.
  • Os recursos de roubo de credenciais da AWS foram adicionados aos seus scripts.

Weavescope Attacks (setembro de 2020)

  • TeamTNT adicionado começou a explorar Weavescope para solucionar problemas e utilizá-la como backdoor para o seguinte:
    • Obter acesso total ao ambiente de nuvem da vítima
    • Monitoramento do Docker, do Kubernetes, do sistema operacional de nuvem distribuída (DC/OS) e da AWS Elastic Compute Cloud (ECS)
    • Executando comandos shell
  • O grupo começou a usar duas novas ferramentas para roubar credenciais do histórico do navegador e das conexões de rede:
  • O grupo também começou a usar um criptografador de tempo de execução Linux ELF simples, ezuri, para criptografar seu malware para evitar a detecção.

Ataques do Kubernetes (janeiro de 2021)

  • A Lacework Labs divulgou um relatório sobre o Tsunami (o bot usado pela TeamTNT) mencionando os seguintes detalhes:
    • Apenas 90 dos 200 bots conectados foram detectados com endereços IP exclusivos dos scripts anteriores.
    • Alguns dos bots por trás de um serviço NAT estavam compartilhando o mesmo endereço IP externo.
    • A maioria dos computadores afetados eram instâncias de nuvem asiáticas hospedadas principalmente pela Tencent, Alibaba e AWS.
  • Durante esse período, o grupo parou de atacar as instâncias do Redis e começou a mirar no Kubernetes.
  • Três novas ferramentas estavam sendo empregadas pelo grupo:
    • Piratas - Uma ferramenta de teste de penetração do Kubernetes de código aberto
    • Ambos - Uma ferramenta de código aberto para análise e exploração de contêineres para Kubernetes
    • libprocesshider - Uma ferramenta de código aberto que usa o pré-carregador de ID para ocultar um processo no Linux.

Aumento da capacidade de roubo de credenciais (junho de 2021)

  • A lista de alvos do grupo permaneceu a mesma, mas eles expandiram suas capacidades de roubo de credenciais para os seguintes serviços e aplicativos.
AWS Shodan PostgreSQLS3 bucketsgcpsmbdockerngrokhexchatsshmoneroguiwalletfilezilladaVFS2GitHub
  • Eles adicionaram o plug-in do AWS CLI em seu script para extrair o máximo de informações sobre a instância, incluindo recursos, instâncias, funções, volumes etc.

Campanha Chimaera (julho de 2021)

  • Em 25 de julho de 2021, a TeamTNT lançou uma campanha chamada “Chimaera”, na qual continuou seus ataques aos serviços Docker, Kubernetes e Weavescope.
  • Para manter a transparência, o grupo criou um painel em seu site que exibia estatísticas da campanha.
[caption id="attachment_20463" align="alignnone” width="845"]Chimaera campaign dashboard to display statistics on the website Painel da campanha Chimaera para exibir estatísticas no site [/caption]
  • O grupo melhorou significativamente sua técnica de enumeração adicionando mais de 70 comandos exclusivos da AWS CLI projetados para enumerar os seguintes 7 serviços da AWS:
    • Configuração do IAM
    • Instâncias do EC2
    • Caçambas S3
    • Casos de suporte
    • Conexão direta
    • CloudTrail
    • Formação em nuvem
  • Eles também começaram a empregar La Sagne, outro aplicativo de código aberto, para aprimorar suas capacidades de roubo de credenciais.

Técnicas, táticas e procedimentos (TTPs)

[caption id="attachment_20464" align="alignnone” width="1677"]TTPs employed by TeamTNT HTTPS empregados pela TeamTNT [/caption] A TeamTNT basicamente empregou as mesmas estratégias em todas as suas campanhas, mas fez isso fazendo os seguintes ajustes em seus métodos:
  • Manipulação de contas adicionando suas próprias chaves SSH authorized_keys em servidores comprometidos.
  • Instalação de um scanner para escanear toda a rede interna em busca de movimentos laterais.
  • Usando ferramentas de monitoramento de processos para reiniciar processos.
  • Usando scripts para instalar todos os tipos de ferramentas, malwares e mineradores.
  • Empacotar binários para evitar as verificações de segurança normais.
  • Usando ofuscação e codificações em scripts bash e durante a comunicação por meio de servidores C2.
  • Usando rootkits no nível do kernel para ocultar seu processo.
  • Implantação de contêineres próprios para ataques e mineração.
  • Usando credenciais de serviços em nuvem para roubar dados.
  • Sequestro de recursos e implantação de imagens XMRig Docker para minerar criptomoedas.

Ferramentas e explorações

O TeamTNT empregou principalmente ferramentas de código aberto e dependia muito de scripts bash para gerenciar todas as ferramentas. A tabela abaixo contém a lista de ferramentas usadas por eles para conduzir suas atividades. Ferramentas e explorações

Ferramentas de digitalização de rede e portas

Embaladores e Criptografadores

EscaneamentomassacraagarrarEzuriUPX

Binários maliciosos

Ladrão de credenciais

Tsunami (malware de bot de IRC) XMR igccDiamorfinaOcultar o processo Libfuro de boiPunk.pyLa SagneMimipyPinguim mimi

Serviços remotos do CPWN (Redis, Docker, Kubernetes)

Principalmente, eles usavam scripts personalizados para possuir serviços como Redis, Kubernetes PiratasAmbosFerramenta Docker Escape (CVE-2019-5736)

Indicadores de compromisso (IOCs)

SHA256setup.shb5ba2c86ebf85cbf700c83d7edc034717d7ee08e84fbae440a38139c15ef7a27 watchdogd (32 bits) 69fea980538a12ac0791f0801fc93d8b4d16e8329793d635221a16f935e8b4d16e8329793d635221a16f935e8CA07xMRig Miner (32 bits) 4256402fc04e49f3da8d1bf88efdcca6a3b03f4b881777d2c32a8df364cececdbiosetda43ed194729f82db68b1d91a17cea6afde8ae81357116c35c4c1291a17cea6afde8ae81357116c35c4c1291a17cea6afde8ae81357116c35c4c1291a17cea6afde8ae81357116c35c4c1291a17cea6afde8ae81357116c35c4c1291a17cea6afde8ae813888a836bfconfig.json285e91d3d578fcaf6665c70de457f602d572203b04c281c03b4bf9103aa5f61fdo.sh9c29d4ecf6a60e7bfc0afbaa7a669a18af163440730711367d1dc715042b5f755watchdogd (64 bits) FDF26ebad48da26be59b5784f43d1e5ee2efa93c59a717fe2ae1d82bf3f016d3xMRig Miner (62 bits) b6f57f8a7fba70d 6660335828d2a14029c88079a8176dca2c63281a759fd84calog.c59aa2101b05225dd0eb7e7b456eb26357540723e3c1d8a10deca83e9715a10fblimpeza completa 6a1221fc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc82b2bf13dc828112795d3edfb7bab8df7a9d4af69b89da4ac31e0e87e5narrenkappe.sha25a73af06c43a20eb9f4f8b67357cec3c74143ccf97ce666446296a360d93fapunk.pya66140870d0a71c7c7bd42b7631e4a85858e6b33e4a21be637b94d41833dee8383s_poor.ssh.sh1eead4f456ed8741d1de821e2fcecb026c1cbbf3477786cc3e637eac05811f46whois2.irc.sh795a33d99c1e8e34a6228d95c4435c5ed7c866dc0e303f9788ea6fe055b1a7ac6whois.irc205db0ef59cad167c6132916f8f7a1d1963e740b36400419b2e5ba307e9f765 cdns307377cac8687a4cde6e29bc00314c265c7ad71a6919de91f689b58efe07770b0init.sh (o segundo script) 5c488d9d6820f859cde5fb5d147cfe584a603152653d12e720b897df60c6f810clean.sh6b8d828511b479e3278264eff68059f03b3b8011f9a6daaeff2af2af06b13ba6090mxutzh.sh8926672fe6ab2f9229a72e344fcb64a880a40db20f9a71ba0d92def9c14497b6setup.mytoys.shb60be03a7305946a5b1e2d22aa4f8e3fc93a55e1d7637bebb58bf2de19a6cf4asetup.xmrig.curl.shbebaac2a2b1d72aa189c98d00f4988b24c72f72f72ae9348c49f62d16b433b05332sysinfo3c907087ec77fc1678011f753ddf4531a484009f3f3c64563d96eff0edea0dcd29portainerb49a3f3cb4c70014e2c35c 880d47bc475584b87b7dfcfa6d7341d42a16ebe443tt.sh2cde98579162ab165623241719b2ab33ac40f0b5d0a8ba7e7067c7aebc530172aws.sh8cedd6187439f77536b076d706aws.sh8cedd6187439f77536b076d706a47ee117ec3a4184a5045499a6172ae6e6c2c39grab_aws-data.sha1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593init.sh4e059d74e5997572f9f936593init.sh4e059d74e5997572f9fea8ddcfb794d4bcda605f0e553fbbef47b8b7c82d2bsearch.shed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35setup_moneroocean_miner.sh5923f20010cb7c1d59aab36ba41c84cd20c25c6e64aace65dc8243ea827b537bDomínio/IPv4Servidor de exfiltração 123.56.193 [.] 119 Miner CC54.203.159 [.] 179C280.211.206 [.] 105 164,68,106 [.] 96 62.234.121 [.] 105 Hospedagem de scripts e binários maliciosos85.. 214.149 [.] 236 45,9,148 [.] 108 5.9.148 [.] 35 domínio/e-mail teamtnt [.] vermelho quimera [.] cc hilde @teamtnt [.] vermelhoCarteiras/chavesCarteiras 88zrgnvz687wg8ipwyapjcvrwl8yfmrabdrxTipswaqr nz5zjbrozbsjrcyffurn1qg7jn7wprqsaa3c8aidaeadan4xi4K 84Dg9mjskfvxkqhqubr6ep6tfhr3ptp8drytmn5s8rgymvrc NCE7Day8EDLKK3TQAASHxU2N4W3A3XJKMASx4x8Q3KQGZnH 46ePFZVNx5gh61ejkppnCrnm8kvjs8ohs9vwckkrcrjx27xe W2y1nplfsa54dghxqnkfzduvw1jzbfekk3hrcvcmaurfd3HSSh-rsa (chave) AAAAB3NZAC1YC2EAAAADAQABAABAQDIZB9HZ7BNT6QTQK cmcitaaxeb9ryjezuume+gUMrh6hg3ccsmg9qnals/LmW5sw WLJQXMB5WUHClPJSVAWUP+pfsm1zigf2jnczew5kbw1o5fL/ 6WoV1P9MoAxHAbpi7o/5ZAuU3LtKtyiWUP5R9L/2PUWCfZinn aior1kntcbpisNYbz4fwaqvgwxzuwz/ze7syiooum3ejiHP CitulegumiZC7TzrnEn9M3U8K+LVFYE+WDesc3wnYWFjGQja 4afsanoiz89olh77g7iadr8lghnfvvkrjaj6ondzwb2czwsiv KFsdYTL6690S407EQOES7WKJuDo9QxSn9WxNV

Referências

Apêndice

[caption id="attachment_20465" align="alignnone” width="1167"]Example of TeamTNT using German language on social media Exemplo de TeamTNT usando o idioma alemão nas mídias sociais [/caption] [caption id="attachment_20466" align="alignnone” width="2048"]GitHub Repositories of the TeamTNT group Repositórios do grupo TeamTNT no GitHub [/caption] [caption id="attachment_20467" align="alignnone” width="1095"]DNS script used by TeamTNT during the attack campaign of docker instances Script de DNS usado pelo TeamTNT durante a campanha de ataque às instâncias do docker [/caption] [caption id="attachment_20468" align="alignnone” width="2048"]Hosted a script to pwn Kubernetes clusters Hospedou um script para possuir clusters Kubernetes [/caption] [caption id="attachment_20469" align="alignnone” width="2048"]Wallet info used by TeamTnT Informações da carteira usadas pela TeamTNT [/caption] [caption id="attachment_20470" align="alignnone” width="2048"]TeamTNT’s official announcement of quitting their operations Anúncio oficial da TeamTNT de encerrar suas operações [/caption] [caption id="attachment_20471" align="alignnone” width="640"]Setup script that creates a shell script for the hiding process. Script de configuração que cria um script de shell para o processo de ocultação. [/legenda] [caption id="attachment_20472" align="alignnone” width="622"]SSH credential stealing module Módulo de roubo de credenciais SSH [/caption] Script de download e instalação para minerador [caption id="attachment_20474" align="aligncenter” width="874"]TeamTNT used some buzz covid-19 keywords in their scripts (At the time of Campaign Covid19 was at its peak ) A TeamTNT usou algumas palavras-chave do buzz covid-19 em seus scripts (na época da Campanha Covid19 estava no auge) [/caption] [caption id="attachment_20475" align="alignnone” width="964"]Setup script for Diamorphine Script de configuração para Diamorphine [/caption] [caption id="attachment_20476" align="alignnone” width="1150"]Script of mxutzh.sh Script de mxutzh.sh [/caption] [caption id="attachment_20477" align="alignnone” width="1114"]Code snippet which infects Docker servers with containers to mine Monero Trecho de código que infecta servidores Docker com contêineres para minerar Monero [/caption] [caption id="attachment_20478" align="alignnone” width="1150"]<em>Addition in the script to steal more </em>credentialsAdição no script para roubar mais credenciais [/caption]
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more