Sliver Malware
يبدو أن مجموعة TeamTNT الشهيرة لتعدين العملات المشفرة تستعد لحملة جديدة واسعة النطاق تركز على التسلل إلى البيئات السحابية الأصلية لتعدين العملات المشفرة وتأجير الخوادم المخترقة لأطراف ثالثة.
وتتضمن استراتيجيتهم الحالية ما يلي:
- استغلال شياطين Docker المكشوفة لنشر البرامج الضارة Sliver.
- دودة إلكترونية وبرنامج تعدين العملات المشفرة.
- استغلال الخوادم المخترقة وDocker Hub لنشر برامجهم المهددة.
تسلط هذه الأنشطة الضوء على التطور المستمر الذي تشهده أساليب الهجوم التي يتبعها فريق TeamTNT. فهو يتكيف باستمرار لشن هجمات معقدة ومتعددة المراحل تهدف إلى اختراق بيئات Docker وتجنيدها في Docker Swarm.
بالإضافة إلى استخدام Docker Hub لاستضافة وتوزيع الحمولات الخبيثة، فقد شوهدت TeamTNT وهي تؤجر القوة الحسابية للضحايا لأطراف أخرى لتعدين العملات المشفرة غير المصرح بها، مما يؤدي إلى توسيع مصادر إيراداتها.
ظهرت علامات هذه الحملة في وقت سابق من هذا الشهر عندما حدد الباحثون جهودًا غير تقليدية لتجميع حالات Docker المخترقة في Docker Swarm. وفي حين تردد الباحثون في البداية في نسب هذه الهجمات إلى TeamTNT بشكل مباشر، إلا أنهم يعتقدون الآن أن العملية أكثر شمولاً مما كان مفهومًا في البداية.
كيف تعمل هجمات TeamTNT الجديدة
تتضمن الهجمات اكتشاف نقاط نهاية API غير المصادق عليها والمكشوفة من خلال masscan و ZGrab لنشر أجهزة تعدين العملات المشفرة وإدراج البنية التحتية المعرضة للخطر للإيجار على منصة Mining Rig Rentals، مما يسمح لشركة TeamTNT بتجنب إدارة هذه الموارد بشكل مباشر - مما يسلط الضوء على تعقيد نموذج أعمالهم غير المشروع.
تستخدم هذه العملية نصًا هجوميًا يقوم بفحص برامج Docker daemons على المنافذ 2375 و2376 و4243 و4244 عبر ما يقرب من 16.7 مليون عنوان IP، ثم يقوم بنشر حاوية تحتوي على صورة Alpine Linux مضمنة بأوامر تالفة.
تنفذ الصورة، المأخوذة من حساب Docker Hub المخترق ('nmlm99')، برنامج نصي أولي يُعرف باسم Docker Gatling Gun ('TDGGinit.sh') لبدء مهام استغلال أخرى.
ومن بين التحديثات الرئيسية التي لاحظها الباحثون تحول TeamTNT من الباب الخلفي Tsunami إلى إطار Sliver Command-and-Control (C2) للتحكم عن بعد في الخوادم المصابة، مما يدل على تطور في التكتيكات. بالإضافة إلى ذلك، تواصل المجموعة استخدام اتفاقيات التسمية الخاصة بها، بما في ذلك Chimaera وTDGG وbioset (لعمليات C2)، مما يؤكد أن هذه حملة نموذجية لـ TeamTNT.
في هذه الحملة، يستخدم TeamTNT أيضًا AnonDNS (DNS مجهول)، وهي خدمة مصممة لتعزيز عدم الكشف عن الهوية والخصوصية عند حل استعلامات DNS لإعادة توجيه حركة المرور إلى خادم الويب الخاص بهم.
مجرمو الإنترنت يواصلون نشر برامج التعدين المشفرة
وتأتي هذه النتائج في الوقت الذي ألقى فيه الباحثون الضوء على حملة جديدة تضمنت هجومًا مستهدفًا بالقوة الغاشمة ضد عميل لم يتم الكشف عن اسمه لتسليم شبكة الروبوتات Prometei لتعدين العملات المشفرة.
ينتشر Prometei في النظام من خلال استغلال الثغرات الأمنية في بروتوكول سطح المكتب البعيد (RDP) وكتلة رسائل الخادم (SMB)، مما يسلط الضوء على جهود الجهة المهددة في إعداد الثبات والتهرب من أدوات الأمان والحصول على وصول أعمق إلى شبكة المؤسسة من خلال إلقاء بيانات الاعتماد والحركة الجانبية.
تتصل الأجهزة المصابة بخادم تجمع التعدين، والذي يمكن استخدامه لتعدين العملات المشفرة (Monero) على الأجهزة المصابة دون علم الضحية.
