بدافزار Sliver

به نظر می رسد که گروه بدنام سرقت رمزنگاری TeamTNT خود را برای یک کمپین جدید و در مقیاس بزرگ آماده می کند که بر نفوذ به محیط های بومی ابری برای استخراج ارزهای دیجیتال و اجاره سرورهای در معرض خطر به اشخاص ثالث متمرکز است.

استراتژی فعلی آنها شامل:

• بهره برداری از شیاطین افشا شده Docker برای استقرار بدافزار Sliver.
• یک کرم سایبری و ماینر رمزنگاری.
• استفاده از سرورهای در معرض خطر و Docker Hub برای گسترش نرم افزار تهدید کننده آنها.

این فعالیت ها تکامل مداوم TeamTNT در روش های حمله را برجسته می کند. این به طور مداوم برای راه اندازی حملات پیچیده و چند مرحله ای با هدف به خطر انداختن محیط های Docker و استخدام آنها در یک Docker Swarm سازگار است.

علاوه بر استفاده از Docker Hub برای میزبانی و توزیع بارهای بدخواهانه خود، TeamTNT قدرت محاسباتی قربانیان را برای استخراج غیرمجاز ارز دیجیتال به سایر طرف‌ها اجاره می‌دهد و جریان درآمد خود را گسترش می‌دهد.

نشانه‌های این کمپین در اوایل این ماه زمانی که محققان تلاش‌های غیرمعمولی را برای خوشه‌بندی نمونه‌های Docker به خطر افتاده در Docker Swarm شناسایی کردند، ظاهر شد. در حالی که در ابتدا برای نسبت دادن مستقیم این حملات به TeamTNT مردد بودند، اما اکنون محققان بر این باورند که این عملیات بسیار گسترده‌تر از آنچه در ابتدا تصور می‌شد است.

حملات جدید TeamTNT چگونه کار می کنند

این حملات شامل شناسایی نقاط پایانی Docker API احراز هویت نشده و افشا شده از طریق masscan و ZGrab برای استقرار استخراج‌کننده‌های رمزنگاری و فهرست کردن زیرساخت‌های آسیب‌دیده برای اجاره در پلتفرم Mining Rig Rentals است که به TeamTNT اجازه می‌دهد از مدیریت مستقیم این منابع اجتناب کند – که پیچیدگی مدل تجاری غیرقانونی آنها را برجسته می‌کند.

این فرآیند از یک اسکریپت حمله استفاده می‌کند که شیطان‌های Docker را در پورت‌های 2375، 2376، 4243 و 4244 در تقریباً 16.7 میلیون آدرس IP اسکن می‌کند، سپس یک ظرف با یک تصویر لینوکس آلپاین که با دستورات خراب جاسازی شده است، مستقر می‌کند.

این تصویر که از یک حساب در معرض خطر Docker Hub ("nmlm99") تهیه شده است، یک اسکریپت اولیه پوسته معروف به Docker Gatling Gun ("TDGGinit.sh") را برای اجرای وظایف بهره برداری بیشتر اجرا می کند.

یک به‌روزرسانی کلیدی که محققان به آن اشاره کردند، تغییر TeamTNT از درب پشتی سونامی به چارچوب Sliver Command-and-Control (C2) برای کنترل از راه دور سرورهای آلوده است که نشان‌دهنده تکامل تاکتیک‌ها است. علاوه بر این، گروه همچنان به استفاده از قراردادهای نامگذاری امضای خود، از جمله Chimaera، TDGG، و bioset (برای عملیات C2) ادامه می‌دهد و تأیید می‌کند که این یک کمپین معمولی TeamTNT است.

در این کمپین، TeamTNT همچنین از AnonDNS (DNS ناشناس) استفاده می کند، سرویسی که برای افزایش ناشناس بودن و حفظ حریم خصوصی در هنگام حل پرس و جوهای DNS برای هدایت ترافیک به سرور وب خود طراحی شده است.

مجرمان سایبری به گسترش کریپتو ماینرها ادامه می دهند

این یافته‌ها زمانی به دست می‌آیند که محققان کمپین جدیدی را روشن می‌کنند که شامل یک حمله brute-force هدفمند علیه مشتری ناشناس برای ارائه بات‌نت استخراج رمزنگاری Prometei است.

Prometei با بهره‌برداری از آسیب‌پذیری‌ها در پروتکل دسک‌تاپ از راه دور (RDP) و بلاک پیام سرور (SMB) در سیستم گسترش می‌یابد، و تلاش‌های عامل تهدید برای راه‌اندازی پایداری، فرار از ابزارهای امنیتی، و دسترسی عمیق‌تر به شبکه سازمان از طریق تخلیه اعتبار و جانبی را برجسته می‌کند. حرکت

ماشین‌های آسیب‌دیده به یک سرور استخر استخراج متصل می‌شوند که می‌تواند بدون اطلاع قربانی برای استخراج ارزهای دیجیتال (Monero) در ماشین‌های در معرض خطر استفاده شود.