影响迅速不易察觉，Team犯罪团伙的Chimaera活动瞄准全球组织

AT&T Alien Labs研究人员发现了一项名为Chimaera的新活动，这项活动由TeamT.NT小组进行，目标是全球各地的组织机构。

通过收集到的证据表明，该活动始于2021年7月25日，攻击者在攻击中使用了大量开源工具。威胁行为者利用开源工具来避免检测，并难以确定攻击的归因。

TeamT.NT僵尸网络是一种加密挖掘恶意软件操作，自2020年4月以来一直活跃，目标是Docker安装。安全公司Trend Micro详细介绍了TeamT.NT小组的活动 ，但在2020 年8月，Cado Security专家发现该僵尸网络也能够针对配置错误的Kubernetes安装。

2021年1月，该网络犯罪团伙使用Hildegard恶意软件发起了一项针对Kubernetes环境的新活动。

Chimaera活动目标是多个操作系统(Windows、不同的 Linux 发行版，包括 Alpine(用于容器)、AWS、Docker和Kubernetes)和应用程序，犯罪团伙使用大量shell/批处理脚本的威胁参与者、新的开源工具、加密货币矿工、TeamT.NT IRC机器人等等。

该活动非常阴险，截至2021年8月30日，攻击者使用的许多恶意软件样本仍然没有被防病毒软件检测到。这场运动在短短几个月内就在全球造成了数千个感染。

该小组使用的部分工具列表包括：

Masscan 和端口扫描程序，以搜索新的感染候选者 libprocesshider 用于直接从内存中执行他们的机器人 7z 解压下载的文件 B374k shell，这是一个PHP web管理员，可以用来控制被感染的系统 Lazagne，一种适用于多个 Web 操作系统的开源工具，用于从众多应用程序中收集存储的凭据。

Palo Alto Networks 的研究人员分析了同一活动，报告称该组织还在使用云渗透测试工具集来针对名为Peirates的基于云的应用程序。

专家指出，即使该组织正在扩大其武器库以增加新功能，但仍然专注于加密货币挖掘。

“AT&T Alien Labs 发现了由威胁参与者TeamT.NT分发的新恶意文件。正如研究人员在较早的活动中观察到的TeamT.NT，他们专注于窃取云系统凭据，使用受感染的系统进行加密货币挖掘，以及滥用受害者的机器搜索并传播到其他易受攻击的系统。”

“通过使用像Lazagne这样的开源工具可以让TeamT.NT在一段时间内保持低调，让反病毒公司更难发现。”

犯罪团伙越来越掌握攻击手法，他们可以轻易逃过病毒查杀工具从而成功对网络系统实施攻击，早在2014年威胁防护公司Damballa发布的《感染状态报告》中就指出了以预防为主的安全手段存在局限之处。随着恶意软件愈发存在针对性，防毒系统形同虚设。

随着网络环境更加复杂，网络攻击和恶意软件技术手段日新月异，仅采用传统网络安全防护措施以难以应对，提升软件自身安全性已成为确保网络安全的重要补充手段。数据显示，90%的网络安全事件由安全漏洞被利用导致的，软件安全漏洞离不开代码问题，因此亟需使用静态代码检测等方式检测并修改代码缺陷及问题，以确保软件自身安全性，软件安全已成为网络安全最基础的防线。

参读链接：

https://www.woocoom.com/b021.html?id=a8b614b13f63499e82ff9ec5d21d7f6e

https://securityaffairs.co/wordpress/122037/cyber-crime/teamtnt-expands-arsenal.html