進(jìn)一步細(xì)化目標(biāo)

在之前的武器庫中，TeamTNT團(tuán)隊(duì)更多的是將惡意腳本集中在一個(gè)初始化腳本上，當(dāng)初始化腳本運(yùn)行后，其余腳本統(tǒng)一的進(jìn)行下載執(zhí)行。對(duì)于不同的機(jī)器環(huán)境，更多的依靠腳本中的冗余適配代碼進(jìn)行選擇執(zhí)行。但隨著越來越多不一樣的環(huán)境，這些代碼將會(huì)越來越復(fù)雜，單一系統(tǒng)執(zhí)行時(shí)有效部分占比將會(huì)越來越小。所以后續(xù)TeamTNT團(tuán)隊(duì)對(duì)武器庫進(jìn)行了升級(jí)，將程序切分為模塊，并增加了GPU相關(guān)驅(qū)動(dòng)的操作腳本。

本次升級(jí)的武器庫樣本看起來比以前的版本更專業(yè)。這些樣本涵蓋了更多不常見環(huán)境的案例，也修復(fù)之前樣本中的錯(cuò)誤，進(jìn)一步展示TeamTNT團(tuán)隊(duì)對(duì)于攻擊腳本的改進(jìn)。隨著TeamTNT將目光投向Kubernetes 云部署環(huán)境，云用戶需要了解責(zé)任共擔(dān)模式的重要性(云服務(wù)提供商負(fù)責(zé)云本身安全，云用戶負(fù)責(zé)云內(nèi)部安全)。用戶在其云環(huán)境的整體安全性中發(fā)揮著重要作用。云用戶需要重視和保護(hù)他們?cè)诟髯栽品?wù)中運(yùn)行的數(shù)據(jù)、平臺(tái)、應(yīng)用程序和操作系統(tǒng)。

因此，在云用戶自身防護(hù)設(shè)置不一樣的狀態(tài)下，TeamTNT 的攻擊不再是整合具有多種功能的一體化樣本，而是變得更加模塊化。這些樣本具有明確的范圍和明確定義的功能，展示了該組織如何發(fā)展以將更有針對(duì)性的方法應(yīng)用于其活動(dòng)。

【TeamTNT 的 AWS 憑證竊取程序的舊版本（左）與他們已經(jīng)入侵的實(shí)例的新版本（中和右）的比較】

下圖顯示了在 2021 年 8 月和 9 月獲得的針對(duì)不同 Kubernetes 環(huán)境的 TeamTNT 樣本。這些樣本表明，TeamTNT 已經(jīng)為不同的目標(biāo) Kubernetes 環(huán)境開發(fā)了多個(gè)有效載荷。

仔細(xì)觀察，這些惡意樣本有一些細(xì)微的變化，特別是為了更好地適應(yīng)感染機(jī)器的環(huán)境：它們不那么通用，因此對(duì)于感染系統(tǒng)無效命令的體積更小，能夠以更小的樣本體積進(jìn)入感染環(huán)境。并且它們?cè)诟聲r(shí)還會(huì)更改C&C地址。

【針對(duì) Kubernetes 環(huán)境使用不同功能的 TeamTNT 工具】

TeamTNT團(tuán)隊(duì)還為多家GPU廠商設(shè)計(jì)利用工具集，增加利用系統(tǒng)中存在GPU設(shè)備進(jìn)行挖礦的機(jī)會(huì)，從而顯著提升其挖礦計(jì)算能力。這種行為在意料之中，因?yàn)殡S著全球門羅幣算力的增長，挖礦難度越來越大。因此，要挖掘相同數(shù)量的門羅幣，則需要提供更大的算力，在這種情況下匹配GPU能夠極大增加挖礦算力。簡單來說，GPU提供的算力大，而算力越大，收益也就越高。

【托管在TeamTNT惡意腳本下載站中GPU文件夾下的文件】

【針對(duì) NVIDIA GPU 環(huán)境的 TeamTNT 工具】