ТАКТИКИ КИБЕРГРУППИРОВКИ TEAMTNT

TEAMTNT CYBER GROUP TACTICS

Polina Polyanskaya

student, Department KB-2 "Information and analytical systems of cybersecurity",  MIREA - Russian Technological University,

Russia, Moscow

АННОТАЦИЯ

В этой статье рассмотрено, какие тактики использует TeamTNT для достижения своих целей, а также каким образом они устраняют конкурентов, стремясь монополизировать вычислительные мощности жертв.

ABSTRACT

This article examines what tactics Team TNT uses to achieve its goals, as well as how they eliminate competitors in an effort to monopolize the computing power of the victims.

Ключевые слова: кибератака; Team TNT; майнинг криптовалюты; уязвимые Linux-серверы.

Keywords: cyber attacks, Team TNT, cryptocurrency mining, vulnerable Linux servers.

Киберпреступность продолжает оставаться одной из наиболее актуальных угроз в современном цифровом мире. Одной из самых известных группировок, специализирующихся на атаках на инфраструктуру на базе операционной системы Linux, является TeamTNT. Данная группа известна своими кампаниями, нацеленными на добычу криптовалюты через эксплуатацию уязвимых серверов и облачных решений.

Основным направлением деятельности TeamTNT являются атаки на Linux-серверы, особенно те, которые работают в облаке. Их операции следуют определенному алгоритму. На первом этапе (разведка) происходит поиск уязвимой системы, которая имеет слабые места в конфигурации или эксплуатирует сервисы с известными уязвимостями (например, базы данных Redis). Первоначальный доступ и выполнение: После обнаружения уязвимости злоумышленники внедряют свой код в систему. Далее осуществляется закрепление присутствия в системе, что позволяет им поддерживать постоянный доступ даже после устранения первоначальной уязвимости. Следующим идёт этап маскировки - чтобы избежать обнаружения, TeamTNT скрывает следы своей активности. Основная цель группы – добыча криптовалюты путем использования вычислительных мощностей захваченной системы. Для обеспечения постоянного доступа и дальнейшего распространения атаки злоумышленники похищают учетные записи пользователей.

TeamTNT активно использует украденные или специально созданные учетные записи для получения доступа к системам. SSH-доступ используется для создания возможности повторного входа в систему после первоначального заражения. С конца 2020 года злоумышленники начали искать учетные данные AWS в заражённых системах. Современные версии их вредоносного ПО анализируют различные источники, такие как переменные окружения, где пользователи могут хранить свои учетные данные. Это особенно актуально для тех, кто использует инструменты AWS CLI или фреймворки, сохраняющие данные аутентификации локально. В начале 2021 года было обнаружено, что TeamTNT начала интересоваться учетными данными Docker API. Это связано с тем, что пользователи Docker могут настраивать API без должной защиты, что делает их привлекательными целями для злоумышленников. В 2021 году была зафиксирована кампания, направленная на сбор учетных данных от множества облачных сервисов и других платформ, таких как AWS, Cloudflare, Google Cloud, Git, SMB, FTP и др.

При обнаружении уязвимого устройства, оно может стать объектом интереса сразу нескольких киберпреступных групп. Так как майнинг криптовалюты требует значительных вычислительных ресурсов, злоумышленникам важно обеспечить монопольный контроль над системой. Для этого TeamTNT разработала механизмы удаления конкурирующих программ-майнеров.

Таким образом, TeamTNT представляет собой хорошо организованную группу киберпреступников, чьи действия направлены на получение финансовой выгоды посредством эксплуатации уязвимостей в инфраструктуре на базе Linux. Их тактические приемы включают тщательную разведку, внедрение вредоносного кода, маскировку и устранение конкурентов. Борьба с такими угрозами требует комплексного подхода, включающего регулярное обновление программного обеспечения, защиту учетных данных и мониторинг сетевой активности.

Список литературы:

1. Мастера облачного криптомайнинга: тактики группы TeamTNT // Хабр: сайт. – URL: https://habr.com/ru/companies/trendmicro/articles/573304/
2. Должен остаться только один: техники и тактики хакерской группировки TeamTNT // Security Laboratory by Positive Technologies: сайт – URL: https://www.securitylab.ru/blog/company/Trend_Micro/351429.php?ysclid=m1kuqtkfcl858819591