Cryptojacking

Palo Alto Networks entdeckt neue Cryptojacking-Variante Black-T

, München, Unit 42 | Autor: Herbert Wieler

Palo Alto Networks entdeckt neue Cryptojacking-Variante Black-T

Gestohlene AWS-Zugangsdaten zum Missbrauch von Cloud-Ressourcen

IT-Security-Analysten von Unit 42 (das Threat Intelligence Team von Palo Alto Networks) haben Black-T, eine neue Variante von Cryptojacking-Malware der Gruppe TeamTnT, entdeckt. TeamTnT ist dafür bekannt, dass die Hacker auf AWS-Zugangsdatendateien auf kompromittierten Cloud-Systemen abzielen um die Cryptowährung Monero (XMR) zu schürfen. Black-T folgt den traditionellen Taktiken, -Techniken und -Prozeduren (TTPs) von TeamTnT. Die Gruppe nimmt exponierte Docker-Daemon-APIs ins Visier und führt Scan- und Cryptojacking-Vorgänge auf anfälligen Systemen betroffener Unternehmen durch.

Der Code innerhalb der Black-T-Malware-Probe deutet jedoch auf eine Verschiebung der TTPs bei den TeamTnT-Operationen hin. Hier ist vor allem die Ausrichtung auf bisher unbekannte Cryptojacking-Würmer (Crux-Wurm, ntpd-Miner und ein Redis-Backup-Miner) hervorzuheben. Darüber hinaus hat TeamTnT die Verwendung von Memory-Passwort-Scraping-Operationen über mimipy und mimipenguins implementiert, als äquivalente NIX-Tools zu der häufig verwendeten Windows-spezifischen Speicher-Passwort-Scraping-Funktionalität von Mimikatz. Mimikatz ist ein Tool, das in der Lage ist, Klartext-Passwörter von Windows-Betriebssystemen zu scrappen sowie Pass-the-Hash- und Pass-the-Token-Operationen durchzuführen, die es Angreifern ermöglichen, Benutzersitzungen zu kapern. Alle identifizierten Passwörter, die durch mimipenguins erfasst wurden, werden dann zu einem Command-and-Control (C2)-Node von TeamTnT exfiltriert. Dies ist das erste Mal, dass TeamTnT-Akteure dabei beobachtet wurden, wie sie diese Art von Post-Exploitation-Operationen in ihre TTPs eingebaut haben.

Das Black-T-Tool ist auch in der Lage, drei verschiedene Netzwerk-Scanning-Tools zu verwenden. So gelingt es, zusätzliche exponierte Docker-Daemon-APIs innerhalb des lokalen Netzwerks des kompromittierten Systems und über eine beliebige Anzahl von öffentlich zugänglichen Netzwerken hinweg zu identifizieren, um die Cryptojacking-Operationen auszuweiten. Sowohl masscan und pnscan wurden bereits früher von TeamTnT-Akteuren verwendet. Mit dem Hinzufügen von zgrab, einem GoLang-Netzwerk-Scanner, wurde jedoch zum ersten Mal ein GoLang-Tool in die TTPs von TeamTnT integriert. Es gab auch eine Aktualisierung der Masscan-Netzwerk-Scanner-Operation, die die Suche nach dem TCP-Port 5555 einschließt. Obwohl der genaue Zweck des Hinzufügens von Port 5555 zum Scanner unbekannt ist, gibt es dokumentierte Fälle, in denen XMR-Cryptojacking auf Android-basierten Geräten auftritt. Dies könnte auf ein neues unbekanntes Ziel hindeuten, das für die Erweiterung von TeamTnT-Cryptojacking-Operationen festgelegt wurde. Es gibt jedoch kaum Belege dafür, dass TeamTnT auf Android-Geräte abzielt.

Die Security-Forscher von Unit 42 haben dabei mehrere deutsche Phrasen entdeckt, die in mehrere TeamTnT-Scripts, einschließlich Black-T, eingefügt wurden. Die allererste Zeile nach einem ASCII-Art-Banner innerhalb des Scripts lautet: „verbose mode ist nur für euch 😉 damit ihr was zum gucken habt in der sandbox :-*“ Es gab zudem mehrere andere Fälle, in denen deutsche Phrasen in TeamTnT-Scripts verwendet wurden.

Palo Alto Networks Prisma Cloud kann Unternehmen bei der Absicherung von Cloud-Bereitstellungen gegen die von TeamTnT ausgehenden Bedrohungen unterstützen. Prisma Cloud liefert eine Anleitung, um Schwachstellen oder Fehlkonfigurationen in den Einstellungen der Cloud-Umgebung und in Infrastructure-as-Code (IaC-)-Templates vor der Bereitstellung von Produktionssystemen besser zu erkennen. Darüber hinaus können durch die Installation der neuesten Anwendungen und Bedrohungsdefinitionen auf der Next-Generation-Firewall von Palo Alto Networks Netzwerkverbindungen zu bekannten öffentlichen XMR-Mining-Pools oder zu bösartigen Domains und IPs verhindert werden, bevor die Umgebung kompromittiert wird.

Um Cloud-Systeme vor der Black-T-Kryptojacking-Malware von TeamTnT zu schützen, sollten Unternehmen die folgenden Maßnahmen durchführen:

  • Cloud-Umgebungen sollten keine Docker-Daemon-APIs oder andere Netzwerkdienste exponieren, die versehentlich sensible interne Netzwerkdienste preisgeben.
  • Nutzung eines Tools um Cloud-Implementierungen zu schützen.
  • Installation der neuesten Anwendungen und Bedrohungsdefinitionen auf einer Next-Generation-Firewall