執行摘要

TeamTNT是一個專注對云進行加密劫持操作的攻擊組織，以使用XMRig加密工具挖礦而廣為人知。在近期TeamTNT組織的最新動態中，他們仍以AWS憑證和Kubernetes集群為目標，并且還創建了名為Black-T的新惡意軟件，該軟件集成了開源云原生工具，能協助他們的加密劫持。除此之外，TeamTNT使用AWS憑據來枚舉AWS云環境，并試圖識別與之綁定的所有身份和訪問管理(IAM)權限、彈性計算云(EC2)實例、簡單存儲服務(S3)存儲桶、CloudTrail配置和CloudFormation操作。該組織目前能收集包括AWS和谷歌云在內的16個云平臺或應用程序的憑據。

TeamTNT早在2020年8月就開始收集云實例上的AWS憑據，而對谷歌云憑據的竊取則表示TeamTNT的目標在進一步拓展，目前尚無跡象表明微軟Azure、阿里巴巴云、甲骨文云或IBM云的這些云服務提供商成為攻擊目標，但其IAM證書仍有可能通過類似的方法被鎖定。

此外，TeamTNT還在其活動中添加了對開源Kubernetes和云滲透工具集Peirates的使用。有了這些技術，TeamTNT越來越有能力在目標云環境中收集足夠的信息，并用于執行后利用操作。這會導致更多的橫向移動或提權攻擊案例，最終可能讓TeamTNT獲得對整個云環境的管理訪問權限。

截止本文發表時，TeamTNT收集了6.52012192枚門羅幣(價值1,788美元)。采礦作業中的八個礦機以77.7KH/s的平均速度運行，此門羅幣錢包地址存在了114天。

枚舉技術

Unit42研究人員確定了TeamTNT的惡意軟件存儲庫之一為hxxp://45.9.148[.]35/chimaera/sh/，其中包含多個bash腳本，用于執行加密劫持、漏洞利用、橫向移動和憑據抓取等操作，圖1所示這個惡意軟件存儲庫稱為Chimaera存儲庫，它能體現TeamTNT在云環境中不斷擴大的業務范圍，當前和未來的面向目標。

圖1.TeamTNT的Chimaera存儲庫

在Chimaera存儲庫中，有三個腳本體現了TeamTNT的定位和意圖。第一個腳本是grab_aws-data.sh，(SHA256：a1e9cd08073e4af3256b31e4b42f3aa69be40862b3988f964e96228f91236593)，它主要使用獲取的AWSIAM憑證枚舉AWS云環境;第二個腳本bd_aws.sh(SHA256：de3747a880c4b69ecaa92810f4aac20fe5f6d414d9ced29f1f7ebb82cd0f3945)從一個AWS實例提取所有SSH密鑰，并標識當前運行在該實例上的所有可執行程序;最后的腳本search.sh(SHA256：ed40bce040778e2227c869dac59f54c320944e19f77543954f40019e2f2b0c35)搜索存儲在特定主機上的應用程序的配置文件。上述三個腳本都是新發現的，顯露了TeamTNT以AWS、谷歌云環境中的應用程序為目標的意圖。

枚舉AWS環境

bash腳本grab_aws-data.sh包含70個獨特的AWS命令行界面(AWSCLI)命令，用于枚舉7類AWS服務，包括IAM配置、EC2實例、S3存儲桶、支持案例和直接連接，以及CloudTrail和CloudFormation。如圖2所示，通過AWS枚舉過程獲得的所有值都存儲在受感染系統的本地目錄/var/tmp/.../...TnT.../aws-account-data/中。

圖2.TeamTNT的grab_aws.sh腳本

TeamTNT腳本包含以下七種AWS服務的命令：

•  44個EC2實例命令
• 14個IAM命令
•  4直接連接命令
•  4CloudFormation命令
•  2CloudTrail命令
• 1S3命令
•  1支持命令

憑據抓取

TeamTNT還擴展了他們的憑證抓取功能，比如識別并收集16個應用程序憑據，這些應用程序可能存在于受感染的云端點上，也可能出現在云實例上的任何已知用戶帳戶上，包括根帳戶，如下所示：

• SSHkeys.
•  AWSkeys.

s3clients.

s3backer

s3proxy

s3ql

passwd-s3fs

s3cfg

• Docker.
•  GitHub.
•  Shodan.
• Ngrok.
•  Pidgin.
•  Filezilla.
•  Hexchat.
• 谷歌云.
•  ProjectJupyter.
•  ServerMessageBlock(SMB)clients.

對谷歌云憑證的竊取值得注意，因為這是首個竊取除AWS之外的IAM產品憑證的攻擊組織(參見圖3)，這類手法未來可能會被用于其他同類產品中，微軟Azure、阿里云、甲骨文云或IBM云環境可能會成為攻擊目標。研究人員認為，TeamTNT開發類似于上述grab_aws-data.sh的功能只是時間問題。

圖3.TeamTNT的search.sh腳本搜索谷歌云憑據

橫向移動操作

下面的程序是專門處理橫向移動的。

Weaveworks

在search.sh腳本中，有幾個應用程序顯示了TeamTNT操作不斷發展的攻擊模式。

在Chimaera存儲庫中，Unit42研究人員確定了幾個腳本，這些腳本可以挑選出特定的應用程序，其中之一是Weaveworks(參見圖4)。Weave是為Docker和Kubernetes等容器基礎設施開發的微服務網絡網格應用程序，允許微服務在一個或多個主機上運行，同時保持網絡連接。通過以Weave安裝為目標，TeamTNT有可能使用Weave網絡網格應用程序在容器內實現橫向移動。從腳本setup_scope.sh中的base64編碼代碼中可以看出(SHA256：584c6efed8bbce5f2c52a52099aafb723268df799f4d464bf5582a9ee83165c1)，TeamTNT的目標是包含WeaveDocker容器用戶帳戶信息。

圖4.TeamTNT腳本setup_scope.shbase64解碼代碼

圖5.為門羅幣挖掘而創建的本地Docker鏡像

ProjectJupyter

ProjectJupyter也列為TeamTNT操作的目標，首先是在search.sh腳本中作為憑證抓取的目標，其次作為beta橫向移動腳本spread_jupyter_tmp.sh(SHA256：0d7912e62bc663c9ba6bff21ae809e458b227e3ceec0abac105d20d5dc533a22)。

Unit42研究人員還在某TeamTNT人員的Twitter帳戶中發現了對Jupyter的引用。如圖6所示，內容提到了某個遭入侵的Jupyter端點。

圖6.TeamTNT人員展示某個遭入侵的Jupyter端點

Peirates

Peirates工具被TeamTNT用于對AWS和Kubernetes的入侵操作，有多種功能，如圖7所示。該工具可以讓攻擊者調查和識別Kubernetes和云環境中的錯誤配置或潛在漏洞，并可以讓TeamTNT對云基礎設施執行入侵行動。

圖7.Peirates滲透測試選項

門羅幣挖礦業務

TeamTNT在運營上仍然專注于加密劫持。前幾節介紹了TeamTNT用于擴展其加密劫持基礎設施的新技術的發現，以下部分將重點介紹用于執行其加密劫持操作的過程相關的發現。

本地Docker鏡像

值得注意是腳本文件docker.container.local.spread.txt，其中列出了本地Docker映像的名稱，如圖8所示Docker映像是本地Docker映像，這意味著它不是從托管或外部下載的Docker存儲庫。研究人員在DockerHub中搜索了這個Docker鏡像的存在，但沒有找到。

圖8.docker.container.local.spread.txt的內容

創建Docker容器是為挖礦操作提供主機。如圖5所示，創了一個名為mangletmpuser/fcminer的Docker鏡像，啟動該鏡像并導到Chimaera存儲庫文件setup_xmr.sh，(SHA256：5ddd226d400cc0b49d0175ba06a7e55cb2f5e9586111464bcf7b3bd709417904)，該文件將使用Docker容器中的開源XMRig應用程序啟動Docker加密挖掘過程。

新的門羅幣錢包

研究人員發現了一個新的門羅幣錢包地址，該地址與門羅幣公共礦池pool.supportxmr[.]com:3333相關聯，如圖9所示。

圖9.SupportXMR公共礦池配置

在圖10中，此礦池地址顯示TeamTNT挖礦操作已收集6.52012192門羅幣，涉及8臺礦機，此已持續了114天。對于TeamTNT這樣的組織來說，這個規模只能算是小型挖礦了。

圖10.SupportXMR礦池顯示

結論

我們建議在云環境中運行的組織，監控并阻止與TeamTNT的Chimaera存儲庫以及歷史C2端點相關的所有網絡連接。使用云原生安全平臺將顯著減少云基礎設施的攻擊面，并允許組織監控風險。

Unit42研究人員強烈推薦以下提示，以幫助保護云基礎架構：

對所有云IAM角色和權限執行最小權限IAM訪問策略。在適用的情況下，對服務帳戶使用短期或一次性IAM憑證。

監控并阻止已知惡意端點的網絡流量。

只在生產環境中部署經過審查的容器映像。

實現并使用基礎設施作為代碼(IaC)掃描平臺，以防止不安全的云實例部署到生產環境中。

使用支持治理、風險管理和遵從性(GRC)的云基礎設施配置掃描工具來識別潛在的危險錯誤配置。

使用云端點代理來監控和阻止已知惡意應用程序在云基礎設施中的運行。

本文翻譯自：https://unit42.paloaltonetworks.com/teamtnt-operations-cloud-environments/如若轉載，請注明原文地址。