g0139-teamtnt - RunkIntel

# TeamTNT > [!warning] **TeamTNT**. ## Descrição TeamTNT é um grupo de ameaça que tem como alvo principal ambientes cloud e conteinerizados. O grupo está ativo pelo menos desde outubro de 2019 e concentrou seus esforços principalmente na exploração de recursos cloud e de containers para implantar mineradores de criptomoedas em ambientes comprometidos. ## Técnicas Utilizadas - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1219-remote-access-tools|T1219 - Remote Access Tools]] - [[t1569-003-systemctl|T1569.003 - Systemctl]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1222-002-linux-and-mac-file-and-directory-permissions-modification|T1222.002 - Linux and Mac File and Directory Permissions Modification]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1609-container-administration-command|T1609 - Container Administration Command]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1543-002-systemd-service|T1543.002 - Systemd Service]] - [[t1136-001-local-account|T1136.001 - Local Account]] - [[t1007-system-service-discovery|T1007 - System Service Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1610-deploy-container|T1610 - Deploy Container]] - [[t1613-container-and-resource-discovery|T1613 - Container and Resource Discovery]] ## Software Utilizado - [[s0683-peirates|Peirates]] - [[s0179-mimipenguin|MimiPenguin]] - [[s0349-lazagne|LaZagne]] - [[s0601-hildegard|Hildegard]] ## Relevância para o Brasil e LATAM TeamTNT representa ameaça **crítica para empresas SaaS e fintechs brasileiras** com infraestrutura em Kubernetes/Docker. O grupo não tem preferência geográfica - qualquer ambiente cloud com Docker inseguro é alvo. Startups brasileiras com auto-scaling Kubernetes em AWS/Azure sem network segmentation são particularmente vulneráveis. O objetivo (mineração cripto) gera alto consumo de recursos, impactando availability e custos cloud. Mitigação: registry autenticado com pull-through cache; NetworkPolicies Kubernetes; monitoramento de processos (xmrig); detecção de SSH lateral movement. --- *Fonte: [MITRE ATT&CK - G0139](https://attack.mitre.org/groups/G0139)* ## Visão Geral > Conteúdo a ser adicionado. Use `/cti enrich` para enriquecer esta nota.