teamtnt - RunkIntel

# TeamTNT > [!warning] Grupo de Cryptojacking — Especialista em Cloud e Containers > **TeamTNT** (MITRE G0139) é o grupo de cryptojacking mais documentado em ambientes cloud, com foco em containers Docker, Kubernetes e credenciais AWS expostas. Pioneiro em ataques a ambientes containerizados, desenvolve worms que varrem internet por configurações inseguras. ## Visão Geral TeamTNT é um grupo de criminosos cibernéticos especializado em comprometimento de ambientes cloud e containers para mineração de criptomoedas (cryptojacking). Ativo desde 2019, o grupo tornou-se o ator de referência para ameaças a ambientes Docker e Kubernetes, desenvolvendo capacidades específicas para varredura, comprometimento e manutenção de acesso nesses ambientes. O grupo é notável por várias técnicas inovadoras: foi o primeiro grupo a roubar credenciais AWS de servidores comprometidos (2020), desenvolveu worms específicos para Kubernetes (TeamTNT script de propagação), e criou a ferramenta "Chimaera" para campanhas de cryptojacking em larga escala. O grupo também coleta credenciais Docker Hub para comprometer supply chains de imagens de containers. TeamTNT usa o minerador **XMRig** (Monero) como payload primário, aproveitando a privacidade do Monero para dificultar rastreamento de pagamentos. A capacidade de processar computação distribuída em centenas de containers faz com que mesmo infraestruturas "gratuitas" sejam rentáveis para o grupo. ## Attack Flow ```mermaid flowchart LR A[Scanning\nInternet-wide\nDocker API exposto] --> B[Comprometimento\nDocker daemon\nKubernetes misconfigured] B --> C[Coleta de Credenciais\nAWS keys / env vars\nDocker Hub credentials] C --> D[Deploy de Container\nXMRig miner\nBotnet agent] D --> E[Propagação\nWorm lateral\nNovos hosts scanning] E --> F[Monetização\nMonero mining\nCredenciais vendidas] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | Deploy de Container | [[t1610-deploy-container\|T1610]] | Deploy de containers maliciosos via Docker API | | Roubo de Credenciais Cloud | [[t1078-valid-accounts\|T1078]] | AWS keys, Docker Hub, env vars | | Execução via Script | [[t1059-command-and-scripting-interpreter\|T1059]] | Shell scripts de comprometimento e propagação | | Hijacking de Recursos | [[t1496-resource-hijacking\|T1496]] | Mineração de Monero via XMRig | ## Detecção e Defesa - Nunca expor Docker API (porta 2375/2376) sem autenticação à internet - Auditar variáveis de ambiente de containers por credenciais AWS/cloud - Implementar políticas de imagem Docker (apenas imagens de registries confiáveis) - Monitorar consumo de CPU/GPU anômalo em containers (indicador de mining) - Aplicar [[m1030-network-segmentation|M1030]] para isolar workloads de containers ## Referências - MITRE ATT&CK: [TeamTNT G0139](https://attack.mitre.org/groups/G0139/) - Trend Micro: TeamTNT targeting Docker and Kubernetes (2020) - Palo Alto Unit 42: TeamTNT Chimaera campaign (2021) - Aqua Security: TeamTNT container attack analysis (2020) - AT&T Alien Labs: TeamTNT AWS credential stealing (2020)