Специалисты по информационной безопасности компании AT&T Alien Labs выяснили, что хакерская группировка TeamTNT улучшила работу своего майнера для Linux, добавив в него функционал инстурмента обхода обнаружения с открытым исходным кодом.
Группировка TeamTNT известна тем, что нацеливается и взламывает открытые в интернете экземпляры Docker для выполнения последующего майнинга Monero. Некоторое время назад операторы этого вредоносного ПО обновили тактику, усовершенствовав свою программу для криптоджекинга в Linux под названием Black-T, чтобы та могла собирать учетные пользовательские данные из скомпрометированных систем.
Теперь TeamTNT в очередной раз обновила своё вредоносное ПО, чтобы снизить вероятность обнаружения вредоноса в системе после заражения устройства и развертывания вредоносной полезной нагрузки для майнинга на устройствах Linux.
Компания AT&T Alien Labs отмечает: «Хакеры из TeamTNT начали активно пользоваться новым инструментом для снижения риска обнаружения их вредоносного ПО. Инструмент был скопирован из репозиториев с открытым исходным кодом. Это инструмент libprocesshider с открытым исходным кодом, который может быть использован для скрытия любого процесса Linux с помощью предзагрузчика ld. Основная задача инструмента – скрытие вредоносного процесса от программ обработки информации, таких как ps и lsof. Это эффективная техника обхода защитный средств».
Инструмент для уклонения от обнаружения развертывается в зараженных системах в виде bash-скрипта в кодировке Base24, встроенного в бинарный файл TeamTNT ircbot или криптомайнер:
«Благодаря использованию libprocesshider TeamTNT снова расширяет свои возможности на основе доступных инструментов с открытым исходным кодом. Хотя новый функционал libprocesshider состоит в том, чтобы избегать обнаружения, он действует как индикатор, который следует учитывать при поиске вредоносной активности на уровне хоста», – сказано в отчете AT&T Alien Labs.
