概述

在加密劫持攻击中，对恶意工具或特定脚本的使用是帮助我们溯源攻击团伙的重要指标之一，由于网络时代信息的普及，工具或代码之间的融合互用已变得非常常见，因此还需要 C2 设施、攻击者所使用的完整工具集等信息帮助判断。Unit42 研究人员近期调查 TeamTNT 加密劫持团伙时，发现其新脚本中复制了 WatchDog 组织的命名习惯并劫持了 WatchDog C2 托管系统 199.199.226[.]117。

继续对 TeamTNT 脚本调查发现，该组织惯用的一些技术或行为方式都没有出现，例如新脚本中：

· 没有沿用惯用的攻击模式，以 Kubernetes(K8s)或 DockerAPI 目标，也没有使用新恶意软件工具 Black-T 和 Hildegard。

· 入侵云实例后没有提取任何凭据。

· 没有使用网络扫描工具 zgrab。

这些新脚本是在 TeamTNT 的公共恶意软件存储库中发现的，研究人员推测，TeamTNT 可能是在通过模仿 WatchDog 将恶意行动栽赃给后者，从而混淆分析人员的视线。

窃取、劫持或合并 TTPs（战术、技术和过程）已成了加密劫持操作中的普遍趋势。据报道，TeamTNT 就曾从 Kinsing 组织的入侵实例中复制了用于检测和删除阿里云安全的代码。此外，加密劫持组织 Rocke 和 Pacha 也曾为了争云端 Linux 服务器领地而“大打出手”，Pacha 模仿 Rocke 的恶意脚本，搜索 Rocke 入侵的系统，并在植入自身后铲除 Rocke 使用的程序让其再也无法连接，这场斗争持续了近两年的时间。

介绍

有两个样本体现了 TeamTNT 在模仿 WatchDog 的操作，这两个样本分别于 2020 年 12 月 5 日和 11 日出现，用新的 C2 直接替换了原本的 WatchDog C2。如图 1 所示，深蓝色矩形中的是原始 WatchDog C2，被浅蓝色矩形中的新地址取代。

图 1.WatchDog 基础设施更换

TeamTNT 没有从脚本中完全删除之前的 C2 地址，说明此样本有可能只是劫持 WatchDog C2 的概念证明(PoC)。

新脚本还模仿了 WatchDog 操作中 URL 地址目录树模式，以及标志性目录 b2f628（红色）和 b2f628fff19fda999999999（橙色），如图 2 所示。

图 2.URL 目录模式

这两个样本包含硬编码的门罗币钱包地址和关联的矿池，如图 3 所示。

图 3.门罗币钱包和相关的矿池

如果这些变化确实是 TeamTNT 的作为，那么也代表 TeamTNT 首次使用传统门罗币矿池 MoneroOcean[.]stream 之外的矿池。两个以前从未被 TeamTNT 参与者使用的新矿池被引入，分别是 nanopool[.]org（如图 4 所示）和 f2pool[.]com（如图 5 所示）。

图 4.Nanopool 挖矿操作

图 5.F2pool 挖矿操作

Nanopool 矿池操作人的姓名，根据记录共有 20 人，如图 6 所示。

图 6.Nanopool 挖矿操作人

两个矿池共对应 19 个恶意样本，其中有七个包含查找和杀死任意进程的指令，如果对应设备中含有 TeamTNT 标识的钱包地址的话。

图 7.使用 TeamTNT 门罗币地址识别和杀死进程

然后脚本将重建挖矿操作并使用两个 WatchDog 门罗币钱包地址，图 8 中列出的 IP 地址 139.99.102[.]72 解析为前面提到的 xmr-asia1.nanopool[.]org 矿池。

图 8.WatchDog 门罗币钱包地址

TeamTNT 与 WatchDog 基础设施的关联

样本 36bf7b2ab7968880ccc696927c03167b6056e73043fd97a33d2468383a5bafce（见图 9）中具体调用的 URL 地址、电子邮件地址和门罗币钱包都是已知的 TeamTNT 指标。

图 9.已知的 TeamTNT 妥协指标(IoC)

样本 8adc8be4b7fa2f536f4479fa770bf4024b26b6838f5e798c702e4a7a1a48c6 中包含了新的 WatchDog 门罗币钱包地址，如图 10 所示。图 9 中显示的 MOxmrigMODURL 地址与已知的 TeamTNTIoC 相同，但是在这个样本中，我们还看到了与 TeamTNT 基础设施有很强联系的其他 URL 地址，特别是那些涉及到域名 oracle.zzhreceive[.]top 的 URL 地址。

图 10.使用链接的 TeamTNT 基础设施的新 WatchDog IoC

这些新脚本（图 9 和图 10）中的 C2 基础设施都使用 WatchDog 目录 b2f628，有一个明显的链接到 TeamTNT 基础架构，域 oracle.zzhreceive[.]top 解析为 IP 地址 199.19.226[.]117，这也是已知的 TeamTNT 子域 zzhrecieve.anondns[.]net 的解析 IP 地址。anondns[.]net 域已被报告与多个 TeamTNT 活动相关联。

【白嫖网安学习资料要不】