安全研究人员发现，一个臭名昭著的威胁组织已使用一种新工具对其军械库进行了升级，该工具可使其恶意软件避免在Linux中被检测。

AT＆T的Alien Labs的研究人员报告说，TeamTNT网络犯罪组织以闯入流行的云实例以挖掘加密货币而闻名，现在正在使用基于开源 libprocesshider库的检测逃避工具。

该libprocesshider库把自己描述为手段“隐藏Linux下的一个过程。”

拉键控工具

TeamTNT以加密挖矿恶意软件为目标配置错误的Docker实例而臭名昭著，并且最近已升级为针对Kubernetes安装的目标，并且还窃取了AWS凭证。

据报道，该组织最近通过更新名为Black-T的Linux密码劫持恶意软件来改变策略，以从受感染的服务器中收集用户凭据。现在，它又向前迈了一步，为Black-T恶意软件增加了逃避检测功能。

研究人员报告说，该新工具是通过base64编码的脚本提供的，隐藏在TeamTNT cryptominer二进制文件中，或者通过其Internet中继聊天（IRC）机器人提供。交付后，它将掩盖ps和lsof等过程信息工具中的恶意二进制文件。

AT＆T研究人员指出，TeamTNT还因其加密挖矿恶意软件的更新而闻名，前一个是基于Ezuri并用GOlang编写的新内存加载器。

研究人员建议：“尽管libprocesshider的新功能是逃避检测和其他基本功能，但它可以作为在主机级别上搜寻恶意活动时要考虑的指标。”