Sliver Malware

Zdá se, že notoricky známá kryptojackingová skupina TeamTNT se připravuje na novou, rozsáhlou kampaň zaměřenou na infiltraci cloudových nativních prostředí za účelem těžby kryptoměn a pronájmu kompromitovaných serverů třetím stranám.

Jejich současná strategie zahrnuje:

• Využití odhalených démonů Docker k nasazení malwaru Sliver.
• Kybernetický červ a krypto-těžař.
• Využití napadených serverů a Docker Hub k šíření jejich ohrožujícího softwaru.

Tyto aktivity zdůrazňují trvalý vývoj TeamTNT v metodách útoků. Důsledně se přizpůsobuje spouštění složitých, vícestupňových útoků zaměřených na kompromitaci prostředí Docker a jejich nábor do Docker Swarm.

Kromě toho, že TeamTNT používá Docker Hub k hostování a distribuci svých zlovolných dat, pronajímá výpočetní sílu obětí dalším stranám za neoprávněnou těžbu kryptoměn, čímž rozšiřuje své příjmy.

Známky této kampaně se objevily na začátku tohoto měsíce, když výzkumníci identifikovali neortodoxní snahy o seskupení kompromitovaných instancí Dockeru do Docker Swarm. Zatímco zpočátku váhali připsat tyto útoky přímo TeamTNT, výzkumníci nyní věří, že operace je mnohem rozsáhlejší, než se původně chápalo.

Jak fungují nové útoky TeamTNT

Útoky zahrnují detekci neověřených, odhalených koncových bodů Docker API prostřednictvím masscan a ZGrab za účelem nasazení krypto-těžařů a výpisu ohrožené infrastruktury k pronájmu na platformě Mining Rig Rentals, což týmu TeamTNT umožňuje vyhnout se přímé správě těchto zdrojů – což zdůrazňuje sofistikovanost jejich nezákonného obchodního modelu.

Tento proces používá útočný skript, který skenuje démony Docker na portech 2375, 2376, 4243 a 4244 na přibližně 16,7 milionu IP adres a poté nasadí kontejner s obrazem Alpine Linux vloženým s poškozenými příkazy.

Obrázek pocházející z kompromitovaného účtu Docker Hub ('nmlm99') spustí počáteční skript shellu známý jako Docker Gatling Gun ('TDGGinit.sh'), aby spustil další úlohy využití.

Klíčovou aktualizací, kterou vědci zaznamenali, je posun týmu TeamTNT od zadních vrátek Tsunami k rámci Sliver Command-and-Control (C2) pro vzdálené ovládání infikovaných serverů, což demonstruje vývoj v taktice. Kromě toho skupina nadále používá své signaturní konvence pojmenování, včetně Chimaera, TDGG a bioset (pro operace C2), což potvrzuje, že se jedná o typickou kampaň TeamTNT.

V této kampani TeamTNT také využívá AnonDNS (Anonymní DNS), službu navrženou pro zvýšení anonymity a soukromí při řešení DNS dotazů k přesměrování provozu na jejich webový server.

Kyberzločinci pokračují v šíření krypto-těžařů

Zjištění přicházejí v době, kdy výzkumníci vrhají světlo na novou kampaň, která zahrnovala cílený útok hrubou silou proti nejmenovanému zákazníkovi s cílem dodat botnet pro těžbu kryptoměn Prometei .

Prometei se v systému šíří využíváním zranitelností v protokolech Remote Desktop Protocol (RDP) a Server Message Block (SMB), zdůrazňujícím úsilí aktérů hrozeb o nastavení persistence, obcházení bezpečnostních nástrojů a získání hlubšího přístupu k síti organizace prostřednictvím dumpingu pověření a laterálních hnutí.

Postižené stroje se připojují k serveru těžebního fondu, který lze použít k těžbě kryptoměn (Monero) na kompromitovaných strojích bez vědomí oběti.