Sliver Malware

Den berygtede cryptojacking-gruppe TeamTNT ser ud til at være klar til en frisk, storstilet kampagne, der fokuserer på at infiltrere cloud-native miljøer for at udvinde kryptovaluta og leje kompromitterede servere til tredjeparter.

Deres nuværende strategi indebærer:

• Udnyttelse af udsatte Docker-dæmoner til at implementere Sliver-malwaren.
• En cyberorm og kryptominer.
• Udnyttelse af både kompromitterede servere og Docker Hub til at sprede deres truende software.

Disse aktiviteter fremhæver TeamTNTs vedvarende udvikling i angrebsmetoder. Den tilpasser sig konsekvent til at starte komplekse angreb i flere trin, der sigter mod at kompromittere Docker-miljøer og rekruttere dem til en Docker Swarm.

Ud over at bruge Docker Hub til at hoste og distribuere deres ondsindede nyttelaster, er TeamTNT blevet set udleje ofres regnekraft til andre parter for uautoriseret cryptocurrency-mining, hvilket udvider sine indtægtsstrømme.

Tegn på denne kampagne dukkede op tidligere på måneden, da forskere identificerede uortodokse bestræbelser på at gruppere kompromitterede Docker-forekomster i en Docker-sværm. Selvom de oprindeligt tøvede med at tilskrive disse angreb direkte til TeamTNT, mener forskere nu, at operationen er langt mere omfattende end først antaget.

Sådan fungerer de nye TeamTNT-angreb

Angrebene involverer detektering af uautentificerede, udsatte Docker API-endepunkter gennem Masscan og ZGrab for at implementere kryptominere og liste kompromitteret infrastruktur til leje på Mining Rig Rentals-platformen, hvilket giver TeamTNT mulighed for at undgå at styre disse ressourcer direkte - hvilket fremhæver sofistikeringen af deres ulovlige forretningsmodel.

Denne proces bruger et angrebsscript, der scanner Docker-dæmoner på porte 2375, 2376, 4243 og 4244 på tværs af cirka 16,7 millioner IP-adresser, og implementerer derefter en container med et Alpine Linux-billede indlejret med korrupte kommandoer.

Billedet, der stammer fra en kompromitteret Docker Hub-konto ('nmlm99'), udfører et indledende shell-script kendt som Docker Gatling Gun ('TDGGinit.sh') for at starte yderligere udnyttelsesopgaver.

En vigtig opdatering bemærket af forskerne er TeamTNTs skift fra Tsunami-bagdøren til Sliver Command-and-Control (C2)-rammeværket til fjernstyring af inficerede servere, hvilket demonstrerer en udvikling i taktik. Derudover fortsætter gruppen med at bruge sine signaturnavnekonventioner, herunder Chimaera, TDGG og bioset (til C2-operationer), hvilket bekræfter, at dette er en typisk TeamTNT-kampagne.

I denne kampagne bruger TeamTNT også AnonDNS (Anonym DNS), en tjeneste designet til at øge anonymiteten og privatlivets fred, når de løser DNS-forespørgsler for at omdirigere trafik til deres webserver.

Cyberkriminelle fortsætter med at sprede kryptominere

Resultaterne kommer, da forskere kaster lys over en ny kampagne, der involverede et målrettet brute-force-angreb mod en unavngiven kunde for at levere Prometei -krypto-mining-botnet.

Prometei spreder sig i systemet ved at udnytte sårbarheder i Remote Desktop Protocol (RDP) og Server Message Block (SMB), hvilket fremhæver trusselsaktørens indsats for at opsætte persistens, omgå sikkerhedsværktøjer og få dybere adgang til en organisations netværk gennem legitimationsdumping og lateral dumping. bevægelse.

De berørte maskiner opretter forbindelse til en minepoolserver, som kan bruges til at mine kryptovalutaer (Monero) på kompromitterede maskiner uden ofrets viden.