Sliver Malware

Pahamaineinen kryptojakkiryhmä TeamTNT näyttää valmistautuvan tuoreeseen, laajamittaiseen kampanjaan, joka keskittyy tunkeutumaan pilvipohjaisiin ympäristöihin kryptovaluuttojen louhimiseksi ja vaarantuneiden palvelimien vuokraamiseksi kolmansille osapuolille.

Heidän nykyiseen strategiaansa kuuluu:

• Paljastuneiden Docker-demonien hyödyntäminen Sliver-haittaohjelman käyttöönottamiseksi.
• Kybermato ja krypto-kaivosmies.
• Hyödynnä sekä vaarantuneita palvelimia että Docker Hubia heidän uhkaavan ohjelmistonsa levittämiseen.

Nämä toiminnot korostavat TeamTNT:n jatkuvaa kehitystä hyökkäysmenetelmissä. Se mukautuu johdonmukaisesti käynnistämään monimutkaisia, monivaiheisia hyökkäyksiä, joilla pyritään vaarantamaan Docker-ympäristöt ja värväämään ne Docker Swarmiin.

Sen lisäksi, että TeamTNT on käyttänyt Docker Hubia ilkeiden hyötykuormien isännöimiseen ja jakamiseen, sen on nähty vuokraavan uhrien laskentatehoa muille osapuolille luvatonta kryptovaluutan louhintaa varten, mikä laajentaa tulovirtojaan.

Merkkejä tästä kampanjasta ilmeni aiemmin tässä kuussa, kun tutkijat havaitsivat epätavallisia pyrkimyksiä ryhmitellä vaarantuneet Docker-esiintymät Docker Swarmiksi. Vaikka alun perin epäröivät syyttää näitä hyökkäyksiä suoraan TeamTNT:hen, tutkijat uskovat nyt, että operaatio on paljon laajempi kuin alun perin uskottiin.

Kuinka uudet TeamTNT-hyökkäykset toimivat

Hyökkäyksiin kuuluu todentamattomien, paljastuneiden Docker API -päätepisteiden havaitseminen masscanin ja ZGrabin avulla salauskaivostyöntekijöiden käyttöönottamiseksi ja vaarantuneiden infrastruktuurien luetteloiminen vuokrattavaksi Mining Rig Rentals -alustalle, jolloin TeamTNT voi välttää näiden resurssien suoran hallinnan – mikä korostaa heidän laittoman liiketoimintamallinsa kehittyneisyyttä.

Tämä prosessi käyttää hyökkäyskomentosarjaa, joka skannaa Docker-daemonit porteissa 2375, 2376, 4243 ja 4244 noin 16,7 miljoonasta IP-osoitteesta ja ottaa sitten käyttöön säilön, jossa on Alpine Linux -kuva, johon on upotettu vioittuneita komentoja.

Kuva, joka on peräisin vaarantuneelta Docker Hub -tililtä ('nmlm99'), suorittaa alkuperäisen komentosarjan, joka tunnetaan nimellä Docker Gatling Gun ('TDGGinit.sh'), käynnistääkseen lisää hyödyntämistehtäviä.

Tärkeä tutkijoiden havaitsema päivitys on TeamTNT:n siirtyminen Tsunami-takaovesta Sliver Command-and-Control (C2) -kehykseen tartunnan saaneiden palvelimien kauko-ohjauksessa, mikä osoittaa taktiikan kehitystä. Lisäksi ryhmä käyttää edelleen allekirjoitusten nimeämiskäytäntöjään, mukaan lukien Chimaera, TDGG ja bioset (C2-operaatioille), mikä vahvistaa, että tämä on tyypillinen TeamTNT-kampanja.

Tässä kampanjassa TeamTNT käyttää myös AnonDNS:ää (Anonymous DNS), joka on palvelu, joka on suunniteltu parantamaan nimettömyyttä ja yksityisyyttä, kun DNS-kyselyjä ratkaistaan liikenteen ohjaamiseksi verkkopalvelimelleen.

Kyberrikolliset jatkavat salauskaivostyöntekijöiden levittämistä

Löydökset tulevat, kun tutkijat valaisevat uutta kampanjaa, joka sisälsi kohdistetun raa'an voiman hyökkäyksen nimeämätöntä asiakasta vastaan Prometein krypto-louhintabottiverkon toimittamiseksi.

Prometei leviää järjestelmässä hyödyntämällä Remote Desktop Protocolin (RDP) ja Server Message Blockin (SMB) haavoittuvuuksia, korostaen uhkatoimijan ponnisteluja pysyvyyden määrittämisessä, suojaustyökalujen kiertämisessä ja syvemmän pääsyn saamiseen organisaation verkkoon valtuustietojen tyhjentämisen ja sivusuunnassa. liikettä.

Asianomaiset koneet muodostavat yhteyden kaivospoolipalvelimeen, jota voidaan käyttää kryptovaluuttojen (Monero) louhimiseen vaarantuneissa koneissa uhrin tietämättä.