威胁Xin解析 | 起底TeamTNT挖矿家族的肆虐之路

进一步细化目标

在之前的武器库中，TeamTNT团队更多的是将恶意脚本集中在一个初始化脚本上，当初始化脚本运行后，其余脚本统一的进行下载执行。对于不同的机器环境，更多的依靠脚本中的冗余适配代码进行选择执行。但随着越来越多不一样的环境，这些代码将会越来越复杂，单一系统执行时有效部分占比将会越来越小。所以后续TeamTNT团队对武器库进行了升级，将程序切分为模块，并增加了GPU相关驱动的操作脚本。

本次升级的武器库样本看起来比以前的版本更专业。这些样本涵盖了更多不常见环境的案例，也修复之前样本中的错误，进一步展示TeamTNT团队对于攻击脚本的改进。随着TeamTNT将目光投向Kubernetes 云部署环境，云用户需要了解责任共担模式的重要性(云服务提供商负责云本身安全，云用户负责云内部安全)。用户在其云环境的整体安全性中发挥着重要作用。云用户需要重视和保护他们在各自云服务中运行的数据、平台、应用程序和操作系统。

因此，在云用户自身防护设置不一样的状态下，TeamTNT 的攻击不再是整合具有多种功能的一体化样本，而是变得更加模块化。这些样本具有明确的范围和明确定义的功能，展示了该组织如何发展以将更有针对性的方法应用于其活动。

【TeamTNT 的 AWS 凭证窃取程序的旧版本（左）与他们已经入侵的实例的新版本（中和右）的比较】

下图显示了在 2021 年 8 月和 9 月获得的针对不同 Kubernetes 环境的 TeamTNT 样本。这些样本表明，TeamTNT 已经为不同的目标 Kubernetes 环境开发了多个有效载荷。

仔细观察，这些恶意样本有一些细微的变化，特别是为了更好地适应感染机器的环境：它们不那么通用，因此对于感染系统无效命令的体积更小，能够以更小的样本体积进入感染环境。并且它们在更新时还会更改C&C地址。

【针对 Kubernetes 环境使用不同功能的 TeamTNT 工具】

TeamTNT团队还为多家GPU厂商设计利用工具集，增加利用系统中存在GPU设备进行挖矿的机会，从而显著提升其挖矿计算能力。这种行为在意料之中，因为随着全球门罗币算力的增长，挖矿难度越来越大。因此，要挖掘相同数量的门罗币，则需要提供更大的算力，在这种情况下匹配GPU能够极大增加挖矿算力。简单来说，GPU提供的算力大，而算力越大，收益也就越高。

【托管在TeamTNT恶意脚本下载站中GPU文件夹下的文件】

【针对 NVIDIA GPU 环境的 TeamTNT 工具】