Sliver Malware

Прословутата група за криптовалути TeamTNT изглежда се подготвя за нова, широкомащабна кампания, фокусирана върху проникване в облачни среди за копаене на криптовалута и отдаване под наем на компрометирани сървъри на трети страни.

Настоящата им стратегия включва:

• Използване на открити Docker демони за внедряване на злонамерения софтуер Sliver.
• Кибер червей и крипто копач.
• Използване както на компрометирани сървъри, така и на Docker Hub за разпространение на техния заплашителен софтуер.

Тези дейности подчертават постоянната еволюция на TeamTNT в методите за атака. Той последователно се адаптира за стартиране на сложни, многоетапни атаки, насочени към компрометиране на Docker среди и набирането им в Docker Swarm.

В допълнение към използването на Docker Hub за хостване и разпространение на техните злонамерени полезни товари, TeamTNT е забелязан да отдава под наем изчислителната мощност на жертвите на други страни за неоторизирано копаене на криптовалута, разширявайки своите потоци от приходи.

Признаци за тази кампания се появиха по-рано този месец, когато изследователите идентифицираха неортодоксални усилия за групиране на компрометирани Docker екземпляри в Docker Swarm. Въпреки че първоначално се колебаеха да припишат тези атаки директно на TeamTNT, сега изследователите смятат, че операцията е много по-мащабна, отколкото първоначално се разбираше.

Как работят новите атаки на TeamTNT

Атаките включват откриване на неавтентифицирани, разкрити Docker API крайни точки чрез masscan и ZGrab за внедряване на крипто-копачи и изброяване на компрометирана инфраструктура под наем на платформата Mining Rig Rentals, което позволява на TeamTNT да избягва директното управление на тези ресурси – подчертавайки сложността на техния незаконен бизнес модел.

Този процес използва скрипт за атака, който сканира Docker демони на портове 2375, 2376, 4243 и 4244 в приблизително 16,7 милиона IP адреса, след което разгръща контейнер с изображение на Alpine Linux, вградено с повредени команди.

Изображението, получено от компрометиран акаунт в Docker Hub („nmlm99“), изпълнява първоначален скрипт на обвивката, известен като Docker Gatling Gun („TDGGinit.sh“), за да стартира допълнителни задачи за експлоатация.

Ключова актуализация, отбелязана от изследователите, е преминаването на TeamTNT от задната вратичка Tsunami към рамката Sliver Command-and-Control (C2) за дистанционно управление на заразени сървъри, демонстрирайки еволюция в тактиката. Освен това, групата продължава да използва своите конвенции за именуване на подписи, включително Chimaera, TDGG и bioset (за C2 операции), потвърждавайки, че това е типична кампания на TeamTNT.

В тази кампания TeamTNT също използва AnonDNS (Анонимен DNS), услуга, предназначена да подобри анонимността и поверителността при разрешаване на DNS заявки за пренасочване на трафика към техния уеб сървър.

Киберпрестъпниците продължават да разпространяват крипто-копачи

Констатациите идват, когато изследователите хвърлят светлина върху нова кампания, включваща целенасочена атака с груба сила срещу неназован клиент за доставяне на ботнета за крипто копаене Prometei .

Prometei се разпространява в системата чрез използване на уязвимости в протокола за отдалечен работен плот (RDP) и блока за съобщения на сървъра (SMB), подчертавайки усилията на заплахата за създаване на устойчивост, избягване на инструменти за сигурност и получаване на по-дълбок достъп до мрежата на организация чрез изхвърляне на идентификационни данни и страничен движение.

Засегнатите машини се свързват със сървър за майнинг пул, който може да се използва за копаене на криптовалути (Monero) на компрометирани машини без знанието на жертвата.