Sliver Malware

Tundub, et kurikuulus krüptorahastamise grupp TeamTNT valmistub värskeks laiaulatuslikuks kampaaniaks, mis keskendub pilvepõhistesse keskkondadesse imbumisele, et kaevandada krüptovaluutat ja rentida ohustatud servereid kolmandatele osapooltele.

Nende praegune strateegia hõlmab järgmist:

• Avatud Dockeri deemonite kasutamine Sliveri pahavara juurutamiseks.
• Küberuss ja krüpto-kaevandaja.
• Nii ohustatud serverite kui ka Docker Hubi kasutamine nende ähvardava tarkvara levitamiseks.

Need tegevused rõhutavad TeamTNT pidevat rünnakumeetodite arengut. See kohandub järjekindlalt keeruliste mitmeetapiliste rünnakute käivitamiseks, mille eesmärk on kahjustada Dockeri keskkondi ja värvata need Dockeri sülemi.

Lisaks Docker Hubi kasutamisele oma pahatahtlike kasulike koormuste majutamiseks ja levitamiseks on TeamTNT-d nähtud ohvrite arvutusvõimsust teistele osapooltele rentimiseks volitamata krüptoraha kaevandamiseks, suurendades seeläbi oma tuluvooge.

Selle kampaania märgid ilmnesid selle kuu alguses, kui teadlased tuvastasid ebatavalised jõupingutused ohustatud Dockeri eksemplaride koondamiseks Docker Swarmi. Kuigi esialgu kõhklesid teadlased omistada need rünnakud otse TeamTNT-le, usuvad teadlased nüüd, et operatsioon on palju ulatuslikum, kui algselt mõisteti.

Kuidas uued TeamTNT rünnakud töötavad

Rünnakud hõlmavad autentimata, paljastatud Docker API lõpp-punktide tuvastamist Masscani ja ZGrabi kaudu, et juurutada krüptokaevureid ja loetleda Mining Rig Rentalsi platvormil renditav ohustatud infrastruktuur, mis võimaldab TeamTNT-l vältida nende ressursside otsest haldamist, tõstes esile nende ebaseadusliku ärimudeli keerukuse.

See protsess kasutab ründeskripti, mis skannib Dockeri deemoneid pordides 2375, 2376, 4243 ja 4244 umbes 16,7 miljoni IP-aadressi ulatuses, seejärel juurutab konteineri Alpine Linuxi kujutisega, mis on manustatud rikutud käskudega.

Pilt, mis pärineb ohustatud Docker Hubi kontolt ('nmlm99'), käivitab edasiste kasutusülesannete käivitamiseks esialgse kestaskripti, mida tuntakse Docker Gatling Gun ('TDGGinit.sh') nime all.

Peamine uuendus, mida teadlased märkisid, on TeamTNT üleminek tsunami tagaukselt nakatunud serverite kaugjuhtimise raamistikule Sliver Command-and-Control (C2), mis näitab taktika arengut. Lisaks kasutab rühm jätkuvalt oma allkirjade nimetamise tavasid, sealhulgas Chimaera, TDGG ja bioset (C2 operatsioonide jaoks), kinnitades, et see on tüüpiline TeamTNT kampaania.

Selles kampaanias kasutab TeamTNT ka AnonDNS-i (anonüümset DNS-i), teenust, mis on loodud DNS-i päringute lahendamisel anonüümsuse ja privaatsuse suurendamiseks, et suunata liiklus oma veebiserverisse.

Küberkurjategijad jätkavad krüptokaevurite levitamist

Leiud tulid siis, kui teadlased valgustasid uut kampaaniat, mis hõlmas sihipärast toore jõu rünnakut nimetu kliendi vastu, et tarnida Prometei krüptokaevandamise botnet.

Prometei levib süsteemis, kasutades ära kaugtöölaua protokolli (RDP) ja serveri sõnumiploki (SMB) haavatavusi, tuues esile ohus osaleja jõupingutused püsivuse seadistamisel, turbetööriistadest kõrvalehoidmisel ning mandaatide dumpingu ja külgmise kaudu organisatsiooni võrgule sügavama juurdepääsu saavutamisel. liikumine.

Mõjutatud masinad loovad ühenduse kaevandusbasseini serveriga, mida saab kasutada ohustatud masinates krüptovaluutade (Monero) kaevandamiseks ilma ohvri teadmata.