脅威攻撃グループTeamTnTによる新たなクリプトジャックマルウェア亜種Black-T

This post is also available in: English (英語)

概要

Unit 42リサーチャーは、クリプトジャックマルウェアの新たな亜種Black-Tを発見しました。同亜種を作成した攻撃グループTeamTnTは、侵害したクラウドシステム上のAWS認証情報ファイルを標的とし、Monero (XMR)をマイニングすることで知られています。Black-TはTeamTnTの従来の手法、戦術、手順(TTP)を踏襲し、公開されたDockerデーモンAPIを標的として被害組織の脆弱なシステム上でスキャンやクリプトジャックオペレーションを実行します。ただし、Black-TのマルウェアサンプルのコードからはオペレーションTTPの変化も読み取れます。

これら新たなTTPでとりわけ注目すべきは、既知のクリプトジャックワーム(Cruxワーム、ntpdマイナー、Redisバックアップマイナー)を対象にこれらの活動を停止させる点です。また、TeamTnTはこれまで、mimipyやmimipenguinを使ってメモリ パスワード スクレイピング オペレーションの利用を実装してきましたが、これは広く利用されているWindows用メモリ パスワード スクレイパー機能Mimikatzの*NIX版です。MimikatzはWindows OSシステムから平文のパスワードをスクレイピングする機能を持つツールで、ほかにもpass-the-hash、pass-the-tokenなどのオペレーションを実行できることから、これを使えば攻撃者がユーザーセッションをハイジャックできるようになります。mimipenguin経由で取得・識別されたパスワードはTeamTnTのコマンド & コントロール(C2)ノードに持ち出されますが、TeamTnTがTTPにこの手のポストエクスプロイトオペレーションを使う様子が確認されたのは今回が初めてです。

Black-Tツールはまた、3種類のネットワーク スキャン ツールを使用して、侵害されたシステムのローカルネットワークや任意の数の公開ネットワーク内で公開されているDockerデーモンAPIを追加識別し、クリプトジャックオペレーションを拡大する機能も備えています。TeamTnTは以前からmasscanとpnscanという2種類のツールを使用していましたが、今回はGoLangで書かれたネットワークスキャナzgrabを追加していました。TeamTnTのTTPにGoLangで書かれたツールが組み込まれているのが発見されたのはこれが初めてです。またmasscanネットワークスキャナオペレーションが更新され、5555/tcpの検索が含まれるようになっていました。5555/tcpをスキャナに追加した正確な目的はわからないものの、AndroidベースのデバイスでXMRクリプトジャックが発生しているという事例が報告されていることから、この追加により未知の標的を対象とするクリプトジャックオペレーションの拡大を狙っている可能性も考えられます。ただし、TeamTnTがAndroidデバイスを標的にしていることを裏付ける証拠はほとんど確認されていません。

Unit 42のリサーチャーはBlack-Tを含むTeamTnTの複数のスクリプトにドイツ語のフレーズが複数挿入されていることを発見しました。ASCIIアートバナーに続くスクリプト先頭行には、 verbose mode ist nur für euch 😉 damit ihr was zum gucken habt in der sandbox :-*  とあります。これは「 あなただけにとくべつに冗長モードを用意しましたよ😉 サンドボックス上で何かしらは見つかるようにね(￣ー￣) 」という意味です。TeamTnTスクリプト内ではほかにもドイツ語のフレーズが複数使用されています。

パロアルトネットワークスのPrisma Cloudを利用すれば、クラウドの環境設定やInfrastructure As Code (IaC)テンプレートに潜む脆弱性や不適切な設定を高い精度で検出し、その後の本番システムのデプロイを成功にみちびき、攻撃グループTeamTnTのもたらす脅威から自社のクラウドのデプロイを保護できるようになります。これにくわえてパロアルトネットワークスの 次世代ファイアウォールに最新のApp ID や脅威シグネチャをインストールすれば、既知のXMRパブリック マイニング プールや悪意あるドメイン、IPへのネットワーク接続による自社環境への侵害を阻止することができます。

Black-Tの詳細

Black-TスクリプトはTeamTnTのドメインであるhxxps://teamtnt[.]red/BLACK-T/SetUpTheBLACK-Tから侵害されたクラウドシステムにダウンロードされます。このクラウドシステムが公開されたDockerデーモンAPIを維持しています。侵害されたシステムにダウンロードされたスクリプトは、以下のアクションを実行します。

最初に、この亜種がバージョン1であることを宣言するASCIIアートバナーが表示されます(図1参照)。次にこのスクリプトは、クリーンアップやシステムの準備といったオペレーションを実行し、侵害されたシステムにすでに存在している既知のクリプトジャックマルウェアがあれば除去します。Black-Tはとくに、競合するクリプトジャック プロセス ファミリであるKinsingマルウェアを標的としています。また、TeamTnTの作成者は、そのクリプトジャックマルウェアを増強するために、以前のTeamTnTツール内とこのBlack-Tツール内の両方に、マルウェアコードの一部をいくつかコピーしていることにも注目すべきでしょう。具体的には、このコピーされたコードでAliyun、Tencentのクラウド セキュリティ ソフトウェアを除去・回避し、AWS認証情報の窃取機能とmasscanスキャン機能を追加しています。

アクティブなXMRマイナーの無効化

Unit 42リサーチャーはまた、TeamTnTの作成者は、前述したkinsingクリプトジャックプロセスに加え、競合する他の潜在的なクリプトジャック マルウェア ファミリも標的にしている、ということの証拠も発見しました。こうした競合するクリプトジャックプロセスには、kswapd0、ntpdマイナー、Redisバックアップマイナー、auditdマイナー、migrationマイナー、Cruxワーム(図2参照)、Cruxワームマイナー(図3参照)が挙げられます。Black-Tのマルウェアにこれら潜在的なクリプトジャックプロセスが組み込まれているのが発見されたことから、作成者はこうしたクリプトジャックプロセスをクラウド処理リソースの競合プロセスとみなしていることが考えられます。これはまた、防御チームが現在把握していないクリプトジャックプロセスがいくつか存在し、こうした未知のクリプトジャックプロセスへの対策となるルールを識別および構築するための取り組みが必要であることも示唆しています。cruxpool[.]comというXMRパブリック マイニング プールが存在しますが、Cruxワームがcruxpoolパブリック マイニング プールを使用しているのか、それともこれは単にクリプトジャックのオペレータによる巧妙な命名に過ぎないのかについて、判断の裏付けとなる追加情報は今のところありません。

Black-Tマルウェアは、既知の全クリプトジャックプロセスのクリーンアップに続き、侵害されたシステム上で現在動作中の既知の全xmrigプロセスのクリーンアップオペレーションも実行します。XMRigは、XMR仮想通貨のマイニングに必要なコンピューティングオペレーションを容易にするオープンソースプロセスとして普及しています。

特徴は、TeamTnTはそのスクリプト内でカスタマイズされたプロセスを使用している点です。これらのカスタムプロセスは、従来の*NIXプロセスに代わるもので、プロセス名に「tnt」というプレフィックスが追加されています。例えば、tntrechtは侵害されたシステムの/usr/local/bin/tntrechtにロードされるカスタムプロセスですが、これを使って正規の*NIXプロセスの権限をハイジャック・修正してからTeamTnTのオペレーションに使用しようとしていると考えられます。修正された正規プロセスは、tntwgetやtntcurlのように、「tnt」というプレフィックスを付けて名前が変更されます。

システムのセットアップ

侵害されたシステムのクリーンアップが完了すると、スクリプトはさらにシステム環境のセットアップを行います。PATH変数のPATH=/bin:/sbin:/usr/bin:/usr/local/bin:/usr/sbinを設定し、新しいDNSサーバーとして8.8.4.4と8.8.8.8を指定します。そして最後に、iptables -Fコマンドを使用して、確立されているIPテーブルルールをすべてフラッシュします。

スクリプトは次に、侵害されたシステムにどの*NIXパッケージマネージャがインストールされているかを確認します。パッケージマネージャには、Advanced Package Tool (APT)、Yellowdog Updater、Modified (YUM)、またはAlpine Linuxパッケージマネージャ(APK)があります。スクリプトは、識別されたパッケージマネージャのタイプに関係なく、masscan、ネットワーク パケット トラフィック リスニングを実行するlibpcap、pnscan (ネットワーク スキャン ツール、ただし現在のサンプルでは、pnscan機能はコメントアウトされています)、zgrab (zmap用にビルドされたGoLangツール)、Docker、jq (柔軟なコマンドラインJSONプロセッサ)をインストールします。図4にセットアップのイメージを示します。

Unit 42のリサーチャーは、TeamTnTがより高度なクリプトジャック機能(具体的には、さまざまなクラウド環境内の脆弱なシステムを識別するための機能)をツールセットに組み込む計画を持っているものと考えています。TeamTnTがネットワーク スキャナ ソフトウェアzmapを使用した様子はこれまで確認されていませんでしたが、そのzmapを使用しているだけでなく、あまり知られていないzgrabというツールも使用しています。zgrabはアドレスバナーの取得に使われるGoLangで書かれたツールです。同グループがこのデータをどう使おうとしているのかはさしあたり不明ですが、自分たちのオペレーションのスキャナ機能をテストするためにzgrabを試そうとしている可能性は高く、おそらくテスト結果に基づいた調整を加えていくものと考えられます。この見かたはzgrab GitHubページの説明からも裏付けが取れます。というのも、同GitHubには「zgrabはおおよそステーブルとはいいがたく、いつAPIを利用できなくなるかわかりません。このため必ずvendorディレクトリを作ってzgrabのローカルコピーを保持し、依存関係の問題発生を回避するようにしてください」という説明がされているからです。この見かたはさらに、zmapがBlack-Tが使っていた元のzgrabツールを本稿を執筆中に非推奨とし、zgrab2という新バージョンのzgrabに置き換えた事実によっても裏付けられています。

Unit 42リサーチャーは、TeamTnT脅威攻撃グループがBlack-Tツールのスキャン機能を非常に重要視していることをよく認識しています。なぜなら現在3種類のスキャナがこのツールに組み込まれているからです(masscan、pscan、zgrab)。

ツールセットのダウンロード

Black-T亜種は次の2つのファイルをダウンロードし、ダウンロードしたファイルを直接bashで実行します。

• xxps://teamtnt[.]red/BLACK-T/beta
• hxxps://teamtnt[.]red/BLACK-T/setup/bd

Beta

Betaは、新しいディレクトリ …  を作成するために使用されます。このディレクトリのroot.tar.gz、cron.tar.gzという名前の2つのtarファイルに、次のファイルが圧縮して入れられます。

root.tar.gz 内

• /root/.bash_history
• /root/.ssh/
• /etc/hosts
• /root/.docker/
• /root/.aws/
• /root/*.sh
• /home/*/.bash_history
• /home/*/.ssh/
• /home/*/*.sh

cron.tar.gz 内

• /etc/cron*/
• /var/spool/cron/

これら2つのファイルは圧縮され、URL hxxps://teamtnt[.]red/only_for_stats/dup.phpに送信されます。ここで注意すべき重要な点は、TeamTnTは今も自分たちが侵害したAWSクラウドシステム上のAWS認証情報や設定ファイルを狙っているということです。侵害されたシステムにAWS認証情報が含まれていれば、TeamTnTはそれらの情報を使って侵害システムのAWS環境内でクリプトジャックオペレーションの拡大を目指すことができるのです。TeamTnTは、公開・侵害されたDockerデーモンシステムから得たAWS認証情報を使うことで、当のシステムを梃子にほかのクラウドシステムやリソースにアクセスできるようになります。つまり、当該システムと同じAWS認証情報を使用しているより大きなAWS環境へとアクセスを広げていくのです。

betaスクリプトは次にhxxps://teamtnt[.]red/x/pwファイルをダウンロードし、Black-Tダウンロードからの複製であるhxxps://teamtnt[.]red/BLACK-T/setup/bdファイルもダウンロードします。

最後に、betaスクリプトは、XMRマイニングオペレーション監視用のサービストークンを設定します。このトークンはabyofigfefda6c3itn9f3zkrmjfays31に設定され、Black-Tスクリプトhxxps://teamtnt[.]red/BLACK-T/SetUpTheBLACK-Tを再度ダウンロードします。これはおそらく冗長化のための手法と思われます。こうしておけば、攻撃者がシステムをエクスプロイト後にさまざまなオペレーションを開始できるようになります。

pw

pwスクリプトは非常に興味深く、WindowsツールのMimikatzを*NIX用に改変したmimipyとmimipenquinを使ってエクスプロイト後のパスワードスクレイピングオペレーションを実行しています。侵害されたシステム内のメモリで発見されたパスワードは、/var/tmp/…/output.txtファイルに書き込まれ、これはhxxps://teamtnt[.]red/only_for_stats/dup.phpにアップロードされます。図5をご覧ください。

bd

bdスクリプトは、侵害されたシステムに適合するXMRマイニングソフトウェアをダウンロードするために使用されます。ダウンロードされるファイルとマイニングソフトウェア用のSHA256値については、以前、Weave Scopeのデプロイを標的とするオペレーションの際に報告されています。

Unit 42リサーチャーは各ソフトウェアサンプルをダウンロードして、これらのサンプルが以前報告されたサンプルと同じ形式であるものと考えています(表1参照)。

表1: TeamTnT XMRマイニングソフトウェア

XMRマイナーのセットアップ

Black-Tのスクリプトは次に、既知のXMRマイナーソフトウェアsbin_u (SHA256: fae2f1399282508a4f01579ad617d9db939d0117e3b2fcfcc48ae4bef59540d9)をダウンロードします。この種類のマイニングソフトウェアは過去にもTeamTnTに関連付けられていました。VirusTotalは現在、このマルウェアを8/62とリストしていますが、*NIXプラットフォームシステム上で動作するマイニングソフトウェア、Executable Linkable Format (ELF) CoinMiner (図7参照)だとラベル付けしています。

Black-Tは最後に、以下のXMRウォレットアドレスを使用するように、XMRマイニングソフトウェアを設定します: 84xqqFNopNcG7T5AcVyv7LVyrBfQyTVGxMFEL2gsxQ92eNfu6xddkWabA3yKCJmfdaA9jEiCyFqfffKp1nQkgeq2Uu2dhB8。図8は、本稿執筆時点では、5ワーカーが8.2 KH/sを生成したのみと報告されたことを示しています。これは、2020年9月26日の最大25.05 KH/sから減少しています。この特定のXMRウォレットが収集したのは、2020年9月29日の時点で、約10米ドルのみです。その理由はおそらく、これはクリプトジャックソフトウェアの非常に新しい亜種であり、拡散する時間があまりなかったためと考えられます。

ワーム機能

TeamTnTはこれまでも長くワームのような手法を使い、masscanやpnscanを使って脆弱なシステムを見つけていました。Black-Tも例外ではありませんが、以前報告されたTeamTnTのmasscanオペレーションとBlack-T内に見られるオペレーションの間には、わずかな違いがあります。具体的には、Black-Tには、新しいスキャンポート5555/tcpが追加されていることです(図9参照)。5555/tcpをスキャナに追加した正確な目的はわからないものの、AndroidベースのデバイスでXMRクリプトジャックが発生しているという事例が報告されていることから、この追加により未知の標的を対象とするクリプトジャックオペレーションの拡大を狙っている可能性も考えられます。ただし、TeamTnTがAndroidデバイスを標的にしていることを裏付ける証拠はほとんど確認されていません。

さらに、Black-Tは、公開されたDocker APIインスタンスを探す際、ランダムな/8のCIDRネットワーク範囲のスキャンオペレーションを実行します。これも、TeamTnTのTTPに関する新たな発見です(図10参照)。TeamTnTはBlack-Tのスキャン範囲を拡大することで、標的オペレーション範囲を大幅に拡大しています。Black-Tは、侵害されたシステムのローカルネットワーク範囲のみをスキャンするのではなく、/8のCIDRネットワーク範囲全体のランダムなスキャンを行うようになります。たとえば、Black-Tが134.0.0.0/8を選択すると、134.0.0.0と134.255.255.255の間で公開されたDockerデーモンAPIを含むアドレスが標的とされ、Black-Tはそのシステムのエクスプロイトを試みます。十分時間があれば、公開されているすべてのIPアドレスが、公開されたDockerデーモンAPIシステムを探してスキャンされます。これにより、TeamTnTが所有する侵害システム数が大幅に増加する可能性があります。

結論

TeamTnTはクラウドにフォーカスしたクリプトジャックグループで、公開されたDockerデーモンAPIを標的とします。TeamTnTはDockerデーモンAPIの識別とエクスプロイトに成功すると、クリプトジャックの新しい亜種であるBlack-Tをドロップします。この亜種は最大3種類のネットワークスキャナ(masscan、pnscan、zgrab)をインストールし、これらを使用して他の公開されたDockerデーモンAPIをスキャンします。Black-Tはまたクラウドシステムのエクスプロイトに成功すると、メモリスクレイピングオペレーションも実行します。このオペレーションは、侵害システムにmimipyとmimipenguinスクリプトをダウンロードして実行します。識別されたパスワードはTeamTnT C2ノードに渡されます。やはりTeamTnT脅威攻撃グループによって取得され、窃取されたAWS認証情報と同様に、これらの認証情報は、侵害されたDocker APIを管理する組織を標的とした追加オペレーションに使用されると考えられます。

TeamTnTのBlack-Tクリプトジャックマルウェアからクラウドシステムを保護するため、組織は以下の対策を講じる必要があります。

• クラウド環境でDockerデーモンAPIや他のネットワークサービスが不用意に公開され、機密の内部ネットワークサービスが外部にさらされないようにする。
• パロアルトネットワークスのPrisma Cloudを使用し、クラウドのデプロイメントを保護する。
• パロアルトネットワークスの次世代ファイアウォールに最新のApp-IDや脅威シグネチャを適用する。

IoC

URL

• hxxps://teamtnt[.]red
• hxxps://teamtnt[.]red/BLACK-T/beta
• hxxps://teamtnt[.]red/BLACK-T/CleanUpThisBox
• hxxps://teamtnt[.]red/BLACK-T/setup/bd
• hxxps://teamtnt[.]red/BLACK-T/setup/docker-update
• hxxps://teamtnt[.]red/BLACK-T/setup/hole
• hxxps://teamtnt[.]red/BLACK-T/setup/kube
• hxxps://teamtnt[.]red/BLACK-T/setup/tshd
• hxxps://teamtnt[.]red/BLACK-T/SetUpTheBLACK-T
• hxxps://teamtnt[.]red/BLACK-T/SystemMod
• hxxps://teamtnt[.]red/ip_log/getip[.]php
• hxxps://teamtnt[.]red/only_for_stats/dup[.]php
• hxxps://teamtnt[.]red/x/getpwds[.]tar[.]gz
• hxxps://teamtnt[.]red/x/pw
• hxxps://iplogger[.]org/blahblahblah

Moneroマイニングプール

MoneroOcean[.]stream

SHA-256ハッシュ

Black-T関連のハッシュ

Mimipy と Mimipenguin 関連のハッシュ値

Moneroウォレット

84xqqFNopNcG7T5AcVyv7LVyrBfQyTVGxMFEL2gsxQ92eNfu6xddkWabA3yKCJmfdaA9jEiCyFqfffKp1nQkgeq2Uu2dhB8