Спецпроекты

Червь-криптомайнер научился красть пароли из компьютеров под Linux

Безопасность

Разработчики червя и ботнета Black-T в течение нескольких месяцев расширяли функциональность своего вредоноса, чтобы сделать как можно большее количество систем уязвимыми перед ним.

Новые отмычки для червя

Криптомайнинговый червь Black-T научился красть пароли из систем под Linux и обзавелся средствами сканирования сети для более эффективного распространения. Ранее этот червь использовался преимущественно для атак на системы с развернутыми на них виртуальными узлами Docker и последующей генерации криптовалюты Monero (XMR), естественно, несанкционированной.

Теперь разработчики снабдили свой вредонос средствами кражи паролей из оперативной памяти. Для этого используются два опенсорсных эквивалента модуля Mimikatz — mimipy (для Windows, Linux и macOS) и mimipenguin (только для Linux). Перехватываются в первую очередь те пароли, которые были введены в plaintext.

Сверх этого, разработчики оснастили Black-T сетевым сканером zgrab. Причем это уже третий сканер, которым вооружен червь. Ранее исследователи обнаружили при нем pnscan и masscan, и в новой версии masscan обновлен так, чтобы прицельно искать открытый порт TCP 5555. Это, по мнению экспертов группы Unit 42, может означать скорое начало атак на системы под управлением Android.

И все ради Monero

Разработчики Black-T — группировка TeamTNT — в последние месяцы чрезвычайно активны. Ботнет, созданный их криптомайнером, был обнаружен в мае 2020 г. В августе червь обзавелся функциями кражи реквизитов доступа к ресурсам в облаке AWS (до этого за криптомайнерами ничего подобного не водилось). В сентябре эксперты компании Intezer отметили атаки со стороны TeamTNT с использованием WeaveScope — легитимного инструмента для инвентаризации активных процессов, хостов и контейнеров на скомпрометированных серверах. Этот инструмент использовался также для перехвата контроля над установленными приложениями.

Криптомайнинговый червь Black-T обзавелся функциональностью для взлома систем под Linux

Weave Scope интегрируется с Docker, Kubernetes, Distributed Cloud Operating System (DC/OS) и AWS Elastic Compute Cloud (ECS), что в конечном счете обеспечивает злоумышленникам возможность захвата контроля над всех облачной инфраструктурой жертвы. С помощью всего своего арсенала TeamTNT ищет уязвимые серверы и облачные ресурсы и устанавливает в них майнеры.

«Судя по всему, разработчики червя чрезвычайно амбициозны: их явно интересует не только максимальное извлечение прибыли, то есть генерация максимально возможного количества единиц криптовалюты Monero, но и максимальная "контагиозность" их вредоноса. Это уже не первый известный случай добавления функциональности, покрывающей все большее количество данных, которые вредонос похищает, — указывает Алексей Водясов, технический директор компании SEC Consult Services. — Наиболее перспективным методом борьбы с этим, пожалуй, будет установка и на серверы, и в виртуализационные среды программных средств, которые будут идентифицировать и блокировать деятельность процессов, ассоциируемых с Monero. В большей части случаев генерация криптовалют на системах, которые не строились с этой целью, имеет сугубо криминальный характер. Ну и не стоит забывать о таких мерах как закрытие неавторизованного доступа к API Docker, чтобы избежать заражения».