本ブログではこれまでに、サイバー犯罪者グループ「TeamTNT」が、暗号資産(旧仮想通貨)採掘ツール(コインマイナー)のペイロードや認証情報を窃取するマルウェアを展開するために、保護されていないRedisインスタンスやインターネット上に露出したDocker API、脆弱なKubernetesクラスタをどのように標的と定めてきたかを解説しました。TeamTNTは現在も、自身のキャンペーンで侵害したクラウド環境を悪用して活発な攻撃活動を続けています。トレンドマイクロは今回、TeamTNTの新たなキャンペーンで使用された検体を解析して、サイバー犯罪への最近の取り組みについて調査分析しました。さらに以前の展開活動と比較することで、同グループがアップグレードされたツールやペイロードを使用していることを確認しました。
![図1:TeamTNTの典型的な攻撃チェーン](https://blog.trendmicro.co.jp/wp-content/uploads/2021/11/2021-12-01-image01-150x150.jpg)