戻ってきたTeamTNT

ほぼこもセキュリティニュース By Terilogy Worx

多くの脅威アクターが生まれては消えていきます。
そんななかの1つに、TeamTNTがあります。

TeamTNTは2020年から活動が観測されていた、主なターゲットをクラウド環境とする脅威アクターでした。
Kubernetesクラスター、Docker API、Kubernetes UIツール、Redisなどのクラウド環境に対し、不適切な設定がされている点を悪用して攻撃を展開するという傾向があるアクターです。
多くの新しい手法を導入しながら活動する脅威アクターでしたが、2021年11月に活動終了を案内しました。
その後も拡散済みのマルウェアの活動は継続してしまっていましたが、新しい脅威の投入は確認されていない状態でした。

そんなTeamTNTなのですが、従来のTeamTNTのTTPと一致する点の多い脅威が2022年9月以降にいくつも観測されています。

  • TeamTNTの新しい攻撃のようなもの1:The Kangaroo Attack
    この脅威は、暗号を破るためのものとみられています。
    破ろうと試みられているのは、ビットコインが公開鍵暗号化を実装するために使用するSECP256K1暗号です。
    多くの環境に分散して展開されることが想像される機構を持っているため、大きな計算量を必要とする問題を解決できてしまうかもしれません。
    もし暗号が破られてしまうと、SECP256K1暗号を前提とする機構のすべてが安全な状態ではなくなることになります。
  • TeamTNTの新しい攻撃のようなもの2:The Cronb Attack
    活動を隠すためのルートキット、永続性を確保するためのcronジョブ、リソースをハイジャックするためのクリプトマイナー、ローカルおよび外部ネットワークでラテラルムーブメントを実行するためのsshおよびキーの盗難など、TeamTNTが長年にわたって使用してきたいくつもの古いトリックが使用されている攻撃です。
    横展開による拡散でマイニングします。
  • TeamTNTの新しい攻撃のようなもの3:The “What Will Be” Attack
    バックドアを構成し、さまざまなマルウェアを持ってきて実行します。
    マイニングに適した状態になるようにCPUのレジスタの状態を調整し、マイニングを実施します。

これらはいずれも、誤って構成されたDocker Daemonをスキャンし、発見するとそこに不正活動環境を構成します。
不正活動環境は、Dockerのバニラコンテナであるalpineを侵害先に展開し構成されます。

運用しているシステムの設定が妥当でない状態とならないように監査しつつ運用していくことが重要といえそうです。
それに加え、知らないコンテナがいつの間にか動いているなんていうことがないように、運用状態を継続的に把握することも重要でしょう。

利用者にとって便利なシステムは脅威アクターにとっても便利なものです。
バランスを保つため、便利さとセットで堅実な運用の実施をしていくことが必要ということなのかもしれません。

参考記事(外部リンク):Threat Alert: New Malware in the Cloud By TeamTNT
blog.aquasec.com/new-malware-in-the-cloud-by-teamtnt