Hoạt động của nhóm TeamTNT lần đầu tiên được phát hiện vào năm 2020 với việc cài đặt phần mềm độc hại khai thác tiền điện tử trên các cùng chứa Docker tồn tại lỗ hổng. Các nhà nghiên cứu bảo mật tới từ Trend Micro và Cado Security phát hiện ra các hành động của nhóm như việc đánh cắp thông tin đăng nhập AWS để lây nhiễm nhiều máy chủ hay việc nhắm mục tiêu các cài đặt Kubernetes.
Theo quan sát của Alien Labs, TeamTNT đang nhắm mục tiêu tới Windows, AWS, Docker, Kubernetes, các bản phân phối Linux như Alpine. Hiện tại hàng nghìn thiết bị đã bị xâm nhập thông qua chiến dịch Chimaera của nhóm tin tặc.
Nhóm tin tặc này chủ yếu sử dụng các công cụ mã nguồn mở trong chiến dịch của mình như công cụ dò quét cổng Masscan, phần mềm libprocesshider để thực thi TeamTNT bot từ bộ nhớ, công cụ 7z để giải nén tệp, webshell b374k để kiểm soát hệ thống, công cụ Lazagne để thu thập thông tin đăng nhập.
Palo Alto Networks xác định nhóm đang sử dụng Peirates, một bộ công cụ kiểm thử thâm nhập đám mây để nhắm mục tiêu các ứng dụng dựa trên đám mây. Công ty cho biết: "Việc sử dụng các công cụ mã nguồn mở như Lazagne cho phép TeamTNT không bị phát hiện trong một khoảng thời gian, khiến các công ty chống virus khó phát hiện hơn".
Mặc dù có khá nhiều công cụ để tấn công hệ điều hành nhưng mục tiêu của nhóm TeamTNT là khai thác tiền điện tử. Alien Labs cho biết, có rất ít phần mềm diệt virus phát hiện ra phần mềm độc hại này được sử dụng bởi nhóm tin tặc nói trên.
Hương Mai
15:00 | 31/05/2021
08:00 | 18/01/2022
08:00 | 22/02/2021
09:00 | 19/03/2024
09:00 | 04/11/2021
09:00 | 23/10/2019
17:00 | 05/11/2021
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024