Sliver Malware

Ο διαβόητος όμιλος cryptojacking TeamTNT φαίνεται να προετοιμάζεται για μια νέα, μεγάλης κλίμακας καμπάνια που επικεντρώνεται στην διείσδυση σε περιβάλλοντα του cloud για την εξόρυξη κρυπτονομισμάτων και την ενοικίαση παραβιασμένων διακομιστών σε τρίτους.

Η τρέχουσα στρατηγική τους περιλαμβάνει:

• Εκμετάλλευση εκτεθειμένων δαιμόνων Docker για την ανάπτυξη του κακόβουλου λογισμικού Sliver.
• Ένας cyber worm και crypto-miner.
• Αξιοποιώντας τόσο τους παραβιασμένους διακομιστές όσο και το Docker Hub για τη διάδοση του απειλητικού λογισμικού τους.

Αυτές οι δραστηριότητες υπογραμμίζουν τη διαρκή εξέλιξη της TeamTNT στις μεθόδους επίθεσης. Προσαρμόζεται με συνέπεια για να εκτοξεύει πολύπλοκες επιθέσεις πολλαπλών σταδίων που στοχεύουν στο να θέσουν σε κίνδυνο τα περιβάλλοντα Docker και να τα στρατολογήσουν σε ένα σμήνος Docker.

Εκτός από τη χρήση του Docker Hub για τη φιλοξενία και τη διανομή των κακόβουλων ωφέλιμων φορτίων τους, η TeamTNT έχει δει να νοικιάζει την υπολογιστική ισχύ των θυμάτων σε άλλα μέρη για μη εξουσιοδοτημένη εξόρυξη κρυπτονομισμάτων, επεκτείνοντας τις ροές εσόδων της.

Τα σημάδια αυτής της καμπάνιας εμφανίστηκαν νωρίτερα αυτό το μήνα, όταν οι ερευνητές εντόπισαν ανορθόδοξες προσπάθειες να συγκεντρωθούν παραβιασμένες περιπτώσεις Docker σε ένα σμήνος Docker. Αν και αρχικά διστάζουν να αποδώσουν αυτές τις επιθέσεις απευθείας στην TeamTNT, οι ερευνητές πιστεύουν τώρα ότι η επιχείρηση είναι πολύ πιο εκτεταμένη από ό,τι αρχικά κατανοήθηκε.

Πώς λειτουργούν οι νέες επιθέσεις TeamTNT

Οι επιθέσεις περιλαμβάνουν τον εντοπισμό μη πιστοποιημένων, εκτεθειμένων τελικών σημείων Docker API μέσω masscan και ZGrab για την ανάπτυξη κρυπτονομυχείων και τη λίστα παραβιασμένης υποδομής προς ενοικίαση στην πλατφόρμα Mining Rig Rentals, επιτρέποντας στην TeamTNT να αποφύγει τη διαχείριση αυτών των πόρων απευθείας – υπογραμμίζοντας την πολυπλοκότητα του παράνομου επιχειρηματικού της μοντέλου.

Αυτή η διαδικασία χρησιμοποιεί ένα σενάριο επίθεσης που σαρώνει τους δαίμονες του Docker στις θύρες 2375, 2376, 4243 και 4244 σε περίπου 16,7 εκατομμύρια διευθύνσεις IP και, στη συνέχεια, αναπτύσσει ένα κοντέινερ με μια εικόνα Alpine Linux ενσωματωμένη με κατεστραμμένες εντολές.

Η εικόνα, που προέρχεται από έναν παραβιασμένο λογαριασμό Docker Hub ('nmlm99'), εκτελεί ένα αρχικό σενάριο φλοιού γνωστό ως Docker Gatling Gun ('TDGGinit.sh') για να ξεκινήσει περαιτέρω εργασίες εκμετάλλευσης.

Μια βασική ενημέρωση που σημειώθηκε από τους ερευνητές είναι η μετατόπιση της TeamTNT από την κερκόπορτα του Tsunami στο πλαίσιο Sliver Command-and-Control (C2) για τον απομακρυσμένο έλεγχο των μολυσμένων διακομιστών, καταδεικνύοντας μια εξέλιξη στην τακτική. Επιπλέον, η ομάδα συνεχίζει να χρησιμοποιεί τις υπογραφές ονοματοδοσίας της, συμπεριλαμβανομένων των Chimaera, TDGG και bioset (για λειτουργίες C2), επιβεβαιώνοντας ότι πρόκειται για μια τυπική καμπάνια TeamTNT.

Σε αυτήν την καμπάνια, η TeamTNT χρησιμοποιεί επίσης το AnonDNS (Anonymous DNS), μια υπηρεσία που έχει σχεδιαστεί για να βελτιώνει την ανωνυμία και το απόρρητο κατά την επίλυση ερωτημάτων DNS για να ανακατευθύνει την επισκεψιμότητα στον διακομιστή ιστού τους.

Οι κυβερνοεγκληματίες συνεχίζουν να διαδίδουν Crypto-miners

Τα ευρήματα έρχονται καθώς οι ερευνητές ρίχνουν φως σε μια νέα καμπάνια που περιλάμβανε μια στοχευμένη επίθεση ωμής βίας εναντίον ενός αγνώστου πελάτη για την παράδοση του botnet εξόρυξης κρυπτογράφησης Prometei .

Το Prometei εξαπλώνεται στο σύστημα εκμεταλλευόμενος ευπάθειες στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) και στο μπλοκ μηνυμάτων διακομιστή (SMB), υπογραμμίζοντας τις προσπάθειες του παράγοντα απειλής για τη ρύθμιση της επιμονής, την αποφυγή εργαλείων ασφαλείας και την απόκτηση βαθύτερης πρόσβασης στο δίκτυο ενός οργανισμού μέσω απόρριψης διαπιστευτηρίων και πλευρικών κίνηση.

Τα επηρεαζόμενα μηχανήματα συνδέονται σε έναν διακομιστή εξόρυξης pool, ο οποίος μπορεί να χρησιμοποιηθεί για την εξόρυξη κρυπτονομισμάτων (Monero) σε μηχανήματα που έχουν παραβιαστεί χωρίς να το γνωρίζει το θύμα.