{"id":675041,"date":"2023-03-16T15:09:28","date_gmt":"2023-03-16T15:09:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/se-sospecha-que-teamtnt-del-grupo-de-criptojacking-usa-decoy-miner-para-ocultar-la-filtracion-de-datos\/"},"modified":"2023-03-16T15:09:30","modified_gmt":"2023-03-16T15:09:30","slug":"se-sospecha-que-teamtnt-del-grupo-de-criptojacking-usa-decoy-miner-para-ocultar-la-filtracion-de-datos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/se-sospecha-que-teamtnt-del-grupo-de-criptojacking-usa-decoy-miner-para-ocultar-la-filtracion-de-datos\/","title":{"rendered":"Se sospecha que TeamTNT del grupo de criptojacking usa Decoy Miner para ocultar la filtraci\u00f3n de datos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>16 de marzo de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Cryptojacking \/ Ciberataque<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El grupo de cryptojacking conocido como EquipoTNT<\/strong> se sospecha que est\u00e1 detr\u00e1s de una cepa de malware no descubierta anteriormente que se usa para extraer criptomonedas Monero en sistemas comprometidos.<\/p>\n

Eso es seg\u00fan Cado Security, que encontr\u00f3<\/a> el muestra<\/a> despu\u00e9s de que Sysdig detallara un ataque sofisticado conocido como SCARLETEEL dirigido a entornos en contenedores para, en \u00faltima instancia, robar datos y software patentados.<\/p>\n

Espec\u00edficamente, la fase inicial de la cadena de ataque involucr\u00f3 el uso de un minero de criptomonedas, que la empresa de seguridad en la nube sospech\u00f3 que se implement\u00f3 como se\u00f1uelo para ocultar la detecci\u00f3n de exfiltraci\u00f3n de datos.<\/p>\n

El artefacto, subido a VirusTotal a fines del mes pasado, “oso[s] varias similitudes sint\u00e1cticas y sem\u00e1nticas con las cargas \u00fatiles de TeamTNT anteriores, e incluye una identificaci\u00f3n de billetera que se les ha atribuido anteriormente”, ha revelado un nuevo an\u00e1lisis de Cado Security. revel\u00f3<\/a>.<\/p>\n

Se ha documentado que TeamTNT, activo desde al menos 2019, ataca repetidamente entornos de nube y contenedores para implementar mineros de criptomonedas. Tambi\u00e9n se sabe que libera un gusano de criptominer\u00eda capaz de robar las credenciales de AWS.<\/p>\n

Si bien el actor de amenazas cerr\u00f3 voluntariamente sus operaciones en noviembre de 2021, la empresa de seguridad en la nube Aqua revel\u00f3 en septiembre de 2022 un nuevo conjunto de ataques montados por el grupo dirigidos a instancias de Docker y Redis mal configuradas.<\/p>\n

Dicho esto, tambi\u00e9n hay indicios de que tripulaciones rivales como Perro guardi\u00e1n<\/a> podr\u00eda estar imitando las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) de TeamTNT para frustrar los esfuerzos de atribuci\u00f3n.<\/p>\n

Otro grupo de actividades notable es Kiss-a-dog, que tambi\u00e9n se basa en herramientas e infraestructura de comando y control (C2) previamente asociada con TeamTNT para extraer criptomonedas.<\/p>\n

\"\"<\/div>\n

No hay evidencia concreta para vincular el nuevo malware con el ataque SCARLETEEL. Pero Cado Security se\u00f1al\u00f3 que la muestra apareci\u00f3 casi al mismo tiempo que se inform\u00f3 este \u00faltimo, lo que plantea la posibilidad de que este podr\u00eda ser el minero “se\u00f1uelo” que se instal\u00f3.<\/p>\n

El script de shell, por su parte, toma medidas preparatorias para reconfigurar l\u00edmites estrictos de recursos<\/a>evitar el registro del historial de comandos, aceptar todo el tr\u00e1fico de entrada o salida, enumerar los recursos de hardware e incluso limpiar compromisos anteriores antes de comenzar la actividad.<\/p>\n

Al igual que otros ataques vinculados a TeamTNT, la carga \u00fatil maliciosa tambi\u00e9n aprovecha una t\u00e9cnica denominada secuestro de enlazador din\u00e1mico<\/a> para encubrir el proceso minero a trav\u00e9s de un objeto compartido ejecutable<\/a> llamado libprocesshider<\/a> que usa el LD_PRECARGA<\/a> Variable ambiental.<\/p>\n

La persistencia se logra por tres medios diferentes, uno de los cuales modifica el archivo .perfil<\/a>para garantizar que el minero contin\u00fae ejecut\u00e1ndose durante los reinicios del sistema.<\/p>\n

SEMINARIO WEB<\/span><\/p>\n

Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n

\u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n

RESERVA TU ASIENTO<\/a><\/div>\n

Los hallazgos se producen cuando se observ\u00f3 que otro grupo de criptomineros denominado 8220 Gang utiliza un encriptador llamado ScrubCrypt para llevar a cabo operaciones il\u00edcitas de criptojacking.<\/p>\n

Adem\u00e1s, se han encontrado actores de amenazas desconocidos que apuntan a la infraestructura vulnerable del orquestador de contenedores de Kubernetes con API expuestas para extraer la criptomoneda Dero, lo que marca un cambio de Monero.<\/p>\n

La compa\u00f1\u00eda de seguridad cibern\u00e9tica Morphisec, el mes pasado, tambi\u00e9n arroj\u00f3 luz sobre una campa\u00f1a de malware evasivo que aprovecha las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange para lanzar una cepa de criptominero con nombre en c\u00f3digo ProxyShellMiner<\/a>.<\/p>\n

“La miner\u00eda de criptomonedas en la red de una organizaci\u00f3n puede provocar la degradaci\u00f3n del rendimiento del sistema, un mayor consumo de energ\u00eda, el sobrecalentamiento del equipo y puede detener los servicios”, dijeron los investigadores. “Permite el acceso de los actores de amenazas para fines a\u00fan m\u00e1s nefastos”.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n