Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Sliver Malware

Sliver Malware

El Mezo el Programari maliciós
Traduir a:
Català

El famós grup de criptojacking TeamTNT sembla estar preparant-se per a una nova campanya a gran escala centrada a infiltrar-se en entorns natius del núvol per explotar criptomonedes i llogar servidors compromesos a tercers.

La seva estratègia actual consisteix en:

  • Explotant els dimonis Docker exposats per desplegar el programari maliciós Sliver.
  • Un cuc cibernètic i criptominero.
  • Aprofitant tant servidors compromesos com Docker Hub per difondre el seu programari amenaçador.

Aquestes activitats posen de manifest la persistent evolució de TeamTNT en els mètodes d'atac. S'adapta constantment per llançar atacs complexos i multietapes destinats a comprometre entorns Docker i reclutar-los en un Docker Swarm.

A més d'utilitzar Docker Hub per allotjar i distribuir les seves càrregues útils malèvoles, TeamTNT s'ha vist llogant el poder computacional de les víctimes a altres parts per a la mineria de criptomoneda no autoritzada, ampliant els seus fluxos d'ingressos.

Els signes d'aquesta campanya van aparèixer a principis d'aquest mes quan els investigadors van identificar esforços poc ortodoxos per agrupar instàncies de Docker compromeses en un Docker Swarm. Tot i que inicialment dubtaven a atribuir aquests atacs directament a TeamTNT, els investigadors ara creuen que l'operació és molt més extensa del que es va entendre inicialment.

Com funcionen els nous atacs TeamTNT

Els atacs impliquen detectar punts finals de l'API Docker no autenticats i exposats mitjançant masscan i ZGrab per desplegar criptominedors i llistar infraestructures compromeses per llogar a la plataforma Mining Rig Rentals, cosa que permet a TeamTNT evitar gestionar aquests recursos directament, destacant la sofisticació del seu model de negoci il·lícit.

Aquest procés utilitza un script d'atac que escaneja els dimonis Docker als ports 2375, 2376, 4243 i 4244 a través d'uns 16,7 milions d'adreces IP, i després desplega un contenidor amb una imatge d'Alpine Linux incrustada amb ordres danyades.

La imatge, procedent d'un compte de Docker Hub compromès ('nmlm99'), executa un script d'intèrpret d'ordres inicial conegut com a Docker Gatling Gun ('TDGGinit.sh') per llançar més tasques d'explotació.

Una actualització clau assenyalada pels investigadors és el canvi de TeamTNT de la porta posterior del tsunami al marc Sliver Command-and-Control (C2) per al control remot dels servidors infectats, demostrant una evolució en les tàctiques. A més, el grup continua utilitzant les seves convencions de nomenclatura de signatura, incloses Chimaera, TDGG i bioset (per a operacions C2), confirmant que es tracta d'una campanya típica de TeamTNT.

En aquesta campanya, TeamTNT també utilitza AnonDNS (DNS anònim), un servei dissenyat per millorar l'anonimat i la privadesa a l'hora de resoldre consultes de DNS per redirigir el trànsit al seu servidor web.

Els cibercriminals continuen estenent Crypto-Miners

Les troballes es produeixen quan els investigadors van donar llum a una nova campanya que va implicar un atac de força bruta dirigit contra un client sense nom per lliurar la botnet de criptomineria Prometei .

Prometei s'estén al sistema mitjançant l'explotació de vulnerabilitats en el protocol d'escriptori remot (RDP) i el bloc de missatges del servidor (SMB), destacant els esforços de l'actor de l'amenaça per configurar la persistència, eludir les eines de seguretat i obtenir un accés més profund a la xarxa d'una organització mitjançant l'abocament de credencials i lateral. moviment.

Les màquines afectades es connecten a un servidor de pool de mineria, que es pot utilitzar per extraure criptomonedes (Monero) en màquines compromeses sense que la víctima ho sàpiga.

Tendència

Més vist

Carregant...