Botnet jetzt in der Lage, Ihre Passwörter zu stehlen

Monero Mining Botnet jetzt in der Lage, Ihre Passwörter zu stehlen

Das Cybersicherheitsunternehmen Unit 42 hat laut seinem Bericht vom 5. Oktober eine neue Version des Cryptocurrency-Mining-Botnetzes TeamTnT aufgedeckt, das Passwörter von einem kompromittierten Computer stiehlt.

Auf diese Weise setzt TeamTnT die Diversifizierung der Fähigkeiten seiner Malware über die heimliche Mining-Privatsphäre Münze Monero (XMR) hinaus fort.

Die bösen Akteure hinter dem Botnet nutzen laut Bitcoin Profit die normale Äquivalente des beliebten Passwort-Cracking-Tools Mimikatz.

Die neue Variante des Botnets mit dem Namen „Black-T“ sendet gestohlene Passwörter an einen Command-and-Control-Knoten (C2), der von der Hackergruppe TeamTnT kontrolliert wird:

Alle identifizierten Passwörter, die durch Mimipenguins erlangt wurden, werden dann an einen TeamTnT Command and Control (C2)-Knoten exfiltriert. Dies ist das erste Mal, dass TeamTnT-Akteure dabei beobachtet wurden, wie sie diese Art von Nach-Exploitation-Operation in ihre TTPs aufgenommen haben.

Nach Angaben von Einheit 42 wurden im Code von Black-T Spuren anderer Krypto-Jacking-Prozesse, wie z.B. des Crux-Wurmminers, entdeckt:

Mit der Einbeziehung dieser potentiellen Kryptojacking-Prozesse, die in der Black-T-Malware gefunden wurden, scheint es, dass diese Kryptojacking-Prozesse den TeamTnT-Autoren als Konkurrenz um Cloud-Verarbeitungsressourcen bekannt sind. Dies würde auch darauf hinweisen, dass es mehrere Kryptojacking-Prozesse gibt, die den Verteidigungsteams derzeit unbekannt sind, und es sollten Anstrengungen unternommen werden, um Entschärfungsregeln für diese derzeit unbekannten Kryptojacking-Prozesse zu identifizieren und zu erstellen.

Es wird vermutet, dass das C2 der Gruppe bei einem in Deutschland ansässigen Unternehmen untergebracht ist. Es ist erwähnenswert, dass Black-T und andere der Gruppe zugeschriebene bösartige Skripte einige Sätze in deutscher Sprache enthalten.

Adobe Flash Player erwacht als Werkzeug für Cryptojacking zu neuem Leben

Der Code des Monero-Bergbauwurms, der der TeamTnT-Gruppe zugeschrieben wird, wurde erstmals im Mai entdeckt.

Forscher von Cado Security fanden später heraus, dass TeamTnT auch in der Lage war, Anmeldedaten für Amazon Web Services (AWS) von kompromittierten Servern zu stehlen. In der Schwachstelle wurden Teile des Codes eines anderen Cloudjacking-Wurms, Kinsing, gefunden.

Krypto-Jacker werden immer raffinierter. Wie Bitcoin Profit berichtete, begann das Stantinko-Botnet Anfang des Jahres mit der Implementierung neuer Verschleierungstechniken für den illegalen Abbau von XMR.