据美国资安新闻网站《Bleeping Computer》报导,黑客组织TeamTNT曾在2021年11月宣布退出,但在将近1年后,网络安全公司AquaSec却在该公司蜜罐(honeypot)中发现TeamTNT的活动,这表明此臭名昭著的黑客组织可能已重新开始行动。
TeamTNT研究人员观察到,TeamTNT在新一轮攻击中使用了三种攻击类型,包括「袋鼠攻击」、以及「Cronb攻击」和「What WillBe」攻击,其中最有趣的一种攻击是「袋鼠攻击」,利用被劫持服务器的计算能力,来运行比特币加密求解器。
由于使用Pollard的Kangaroo WIF求解器,这种攻击被命名为「袋鼠攻击」,该攻击扫描易受攻击的Docker Daemons程式,投放AlpineOS映像,并最终从GitHub获取求解器。
Pollard的袋鼠区间椭圆曲线离散对数问题(ECDLP,Elliptic Curve Discrete Logarithm Problem)求解器演算法,是一种试图破解比特币公钥密码学中SECP256K1加密方式。
AquaSec表示:这种演算法被设计成以分布式方式运行,因为该演算法将密钥分成多块,并将它们分布到各个节点(被攻击的服务器),收集结果,然后在本地写入至文档。
虽然量子计算有机会在未来的某个时候,破解现有的比特币加密,但目前的机器被认为不可能做到这一点,然而,TeamTNT似乎愿意使用其他人的资源,来尝试这个理论。
报导提及,很可能的是,威胁参与者只是在试验新的攻击途径、有效载荷部署和规避检测,同时对捕获的系统执行密集操作,而袋鼠攻击可满足所有要求。
AquaSec观察到的其他攻击类型,类似于以前的TeamTNT操作方式,但现在具有一些新特征。AquaSec建议,无论是TeamTNT还是其他黑客执行这些攻击,企业都应提高他们的云端安全性,加强Docker配置,并在为时已晚前,进行所有可用的安全更新。