Sliver Malware

কুখ্যাত ক্রিপ্টোজ্যাকিং গ্রুপ টিমটিএনটি একটি নতুন, বৃহৎ মাপের প্রচারণার জন্য প্রস্তুত বলে মনে হচ্ছে ক্লাউড-নেটিভ পরিবেশে ক্রিপ্টোকারেন্সি খনি এবং তৃতীয় পক্ষকে আপস করা সার্ভার ভাড়া দেওয়ার উপর দৃষ্টি নিবদ্ধ করে।

তাদের বর্তমান কৌশল অন্তর্ভুক্ত:

• স্লিভার ম্যালওয়্যার স্থাপনের জন্য উন্মুক্ত ডকার ডেমন ব্যবহার করা হচ্ছে।
• একটি সাইবার কীট এবং ক্রিপ্টো-মিনার।
• তাদের হুমকি সফ্টওয়্যার ছড়িয়ে দিতে সমঝোতা সার্ভার এবং ডকার হাব উভয়েরই ব্যবহার।

এই ক্রিয়াকলাপগুলি আক্রমণের পদ্ধতিতে TeamTNT-এর ক্রমাগত বিবর্তনকে তুলে ধরে। এটি ধারাবাহিকভাবে জটিল, বহু-পর্যায়ে আক্রমণ শুরু করার জন্য অভিযোজিত হয় যার লক্ষ্য ডকার পরিবেশে আপস করা এবং তাদের একটি ডকার সোয়ার্মে নিয়োগ করা।

তাদের ক্ষতিকর পেলোডগুলি হোস্ট এবং বিতরণ করার জন্য ডকার হাব ব্যবহার করার পাশাপাশি, টিমটিএনটি অননুমোদিত ক্রিপ্টোকারেন্সি মাইনিংয়ের জন্য ক্ষতিগ্রস্থদের কম্পিউটেশনাল শক্তি অন্যান্য পক্ষকে ভাড়া দিতে দেখা গেছে, এর রাজস্ব স্ট্রিমগুলিকে প্রসারিত করছে।

এই প্রচারণার লক্ষণগুলি এই মাসের শুরুর দিকে প্রকাশিত হয়েছিল যখন গবেষকরা আপোসকৃত ডকার দৃষ্টান্তগুলিকে ডকার সোয়ার্মে ক্লাস্টার করার অপ্রথাগত প্রচেষ্টা চিহ্নিত করেছিলেন। যদিও প্রাথমিকভাবে এই আক্রমণগুলিকে সরাসরি TeamTNT-কে দায়ী করতে দ্বিধা ছিল, গবেষকরা এখন বিশ্বাস করেন যে অপারেশনটি প্রাথমিকভাবে বোঝার চেয়ে অনেক বেশি বিস্তৃত।

নতুন টিমটিএনটি আক্রমণ কীভাবে কাজ করে

আক্রমণের মধ্যে ক্রিপ্টো-মানিকারদের মোতায়েন করার জন্য Mascan এবং ZGrab-এর মাধ্যমে অপ্রমাণিত, উন্মুক্ত ডকার এপিআই এন্ডপয়েন্ট সনাক্ত করা এবং মাইনিং রিগ রেন্টাল প্ল্যাটফর্মে ভাড়ার জন্য আপোসকৃত অবকাঠামো তালিকাভুক্ত করা, TeamTNT-কে সরাসরি এই সম্পদগুলি পরিচালনা করা এড়াতে অনুমতি দেয়—তাদের অবৈধ ব্যবসায়িক মডেলের পরিশীলিততা তুলে ধরে।

এই প্রক্রিয়াটি একটি অ্যাটাক স্ক্রিপ্ট ব্যবহার করে যা 2375, 2376, 4243 এবং 4244 পোর্টে ডকার ডেমন স্ক্যান করে প্রায় 16.7 মিলিয়ন আইপি অ্যাড্রেস জুড়ে, তারপরে দূষিত কমান্ডের সাথে এমবেড করা একটি আলপাইন লিনাক্স ইমেজ সহ একটি ধারক স্থাপন করে।

একটি আপোসকৃত ডকার হাব অ্যাকাউন্ট ('nmlm99') থেকে প্রাপ্ত চিত্রটি আরও শোষণের কাজ শুরু করতে ডকার গ্যাটলিং গান ('TDGGinit.sh') নামে পরিচিত একটি প্রাথমিক শেল স্ক্রিপ্ট কার্যকর করে।

গবেষকদের দ্বারা উল্লিখিত একটি মূল আপডেট হ'ল টিমটিএনটি-এর সুনামি ব্যাকডোর থেকে সংক্রামিত সার্ভারের রিমোট কন্ট্রোলের জন্য স্লিভার কমান্ড-এন্ড-কন্ট্রোল (C2) কাঠামোতে স্থানান্তর করা, কৌশলের একটি বিবর্তন প্রদর্শন করে। উপরন্তু, গ্রুপটি চিমারা, TDGG, এবং বায়োসেট (C2 অপারেশনের জন্য) সহ তার স্বাক্ষর নামকরণের নিয়মগুলি ব্যবহার করে চলেছে, এটি নিশ্চিত করে যে এটি একটি সাধারণ টিমটিএনটি প্রচারাভিযান।

এই প্রচারাভিযানে, টিমটিএনটি AnonDNS (বেনামী DNS) ব্যবহার করছে, একটি পরিষেবা যা তাদের ওয়েব সার্ভারে ট্র্যাফিক পুনঃনির্দেশিত করার জন্য DNS প্রশ্নের সমাধান করার সময় বেনামী এবং গোপনীয়তা বাড়ানোর জন্য ডিজাইন করা হয়েছে।

সাইবার অপরাধীরা ক্রিপ্টো-মাইনার্স ছড়িয়ে দিতে থাকে

গবেষকরা একটি নতুন প্রচারণার উপর আলোকপাত করার সময় এই ফলাফলগুলি আসে যেটিতে প্রোমেটি ক্রিপ্টো-মাইনিং বটনেট সরবরাহ করার জন্য একজন নামহীন গ্রাহকের বিরুদ্ধে একটি লক্ষ্যবস্তু-শক্তি আক্রমণ জড়িত।

Prometei সিস্টেমে রিমোট ডেস্কটপ প্রোটোকল (RDP) এবং সার্ভার মেসেজ ব্লক (SMB) এর দুর্বলতাকে কাজে লাগিয়ে, অধ্যবসায় স্থাপন, নিরাপত্তা সরঞ্জাম এড়ানো, এবং শংসাপত্রের ডাম্পিং এবং পাশ্বর্ীয় মাধ্যমে একটি সংস্থার নেটওয়ার্কে গভীরতর অ্যাক্সেস লাভ করার জন্য হুমকি অভিনেতার প্রচেষ্টাকে হাইলাইট করে সিস্টেমে ছড়িয়ে পড়ে। আন্দোলন

ক্ষতিগ্রস্থ মেশিনগুলি একটি মাইনিং পুল সার্ভারের সাথে সংযোগ করে, যা শিকারের অজান্তেই আপস করা মেশিনে ক্রিপ্টোকারেন্সি (মনেরো) মাইন করতে ব্যবহার করা যেতে পারে।