Black-T

Black-T es una amenaza de malware troyano que se utiliza como parte del arsenal de un grupo de piratas informáticos conocido como TeamTNT. Inicialmente, la actividad principal de TeamTNT era la distribución de mineros de criptomonedas para la criptomoneda Monero. Los piratas informáticos escanearon la red en busca de instalaciones de Docker con seguridad insuficiente y las comprometieron al entregar una carga útil de cripto minero.

Sin embargo, los investigadores de ciberseguridad han notado que el grupo TeamTNT ha estado diversificando su rango de operaciones y expandiendo y modificando su conjunto de herramientas de malware. En primer lugar, los piratas informáticos le dieron a su gusano de criptojacking la capacidad de recopilar credenciales de Amazon Web Services (AWS) de texto sin formato y archivos de configuración de los sistemas Docker o Kubernetes comprometidos. Luego, se observó que el grupo de ciberdelincuentes explotaba una herramienta legítima de código abierto llamada Weave Scope. La herramienta permitió a los piratas informáticos tomar el control total sobre la infraestructura en la nube de la víctima, así como mapear procesos en ejecución, contenedores y hosts en servidores comprometidos.

Recopilación de contraseñas mediante el raspado de memoria

Se analizó la última versión de la herramienta de malware TeamTNT, llamada Black-T por los investigadores de Unit42, y contaba con una gama aún más amplia de funciones amenazantes. Al utilizar dos herramientas de código abierto, mimipy y mimipenguin, que son similares en concepto a la herramienta de recopilación de contraseñas Mimikatz, Black-T se dirige a las computadoras * NIX. El objetivo es raspar la memoria de los sistemas comprometidos en busca de contraseñas de texto sin formato que luego se envíen a la infraestructura de Comando y Control (C2, C&C). De manera similar a la recopilación de credenciales de AWS, es probable que TeamTNT utilice las contraseñas para actividades adicionales de amenaza contra la víctima comprometida.

Sin embargo, Black-T tiene otra adición a su repertorio, en forma de un escáner de red GoLang llamado zgrab, lo que eleva el número total de escáneres a tres. Los otros dos son pnscan y masscan. Una pequeña pista de que TeamTNT podría estar buscando hacer de los dispositivos Android uno de sus objetivos es que el masscan de Black-T se actualizó y ahora apunta al puerto 5555 TCP.