תוכנת זדונית של Sliver
נראה כי קבוצת הקריפטוגרפיה הידועה לשמצה TeamTNT מתכוננת לקמפיין חדש בקנה מידה גדול המתמקד בחדירה לסביבות מקוריות בענן כדי לכרות מטבעות קריפטוגרפיים ולהשכיר שרתים שנפגעו לצדדים שלישיים.
האסטרטגיה הנוכחית שלהם כוללת:
- ניצול דמונים חשופים של Docker כדי לפרוס את התוכנה הזדונית של Sliver.
- תולעת סייבר וכורה קריפטו.
- מינוף גם שרתים שנפגעו וגם Docker Hub כדי להפיץ את התוכנה המאיימת שלהם.
פעילויות אלו מדגישות את האבולוציה המתמשכת של TeamTNT בשיטות ההתקפה. הוא מסתגל באופן עקבי להפעלת התקפות מורכבות מרובות שלבים שמטרתן לסכן סביבות Docker ולגייס אותן ל-Docker Swarm.
בנוסף לשימוש ב-Docker Hub כדי לארח ולהפיץ את המטענים המרושעים שלהם, TeamTNT נראתה משכירה את כוח החישוב של הקורבנות לגורמים אחרים לצורך כריית מטבעות קריפטוגרפיים לא מורשית, ומרחיבה את זרמי ההכנסות שלה.
סימנים של מסע פרסום זה הופיעו בתחילת החודש כאשר חוקרים זיהו מאמצים לא שגרתיים לאגד מופעי Docker שנפגעו לתוך נחיל Docker. אמנם בתחילה היססו לייחס את ההתקפות הללו ישירות ל-TeamTNT, אך כעת החוקרים מאמינים כי הפעולה היא הרבה יותר נרחבת ממה שהובנו בתחילה.
כיצד פועלות התקפות TeamTNT החדשות
ההתקפות כרוכות בזיהוי נקודות קצה לא מאומתות וחשופות של Docker API באמצעות Masscan ו-ZGrab כדי לפרוס מכורי קריפטו ולרשום תשתית נפגעת להשכרה בפלטפורמת Mining Rig Rentals, מה שמאפשר ל-TeamTNT להימנע מניהול משאבים אלה ישירות - מה שמדגיש את התחכום של המודל העסקי הבלתי חוקי שלהם.
תהליך זה משתמש בסקריפט תקיפה שסורק דמונים של Docker ביציאות 2375, 2376, 4243 ו-4244 על פני כ-16.7 מיליון כתובות IP, ולאחר מכן פורס קונטיינר עם תמונת Alpine Linux המוטבעת בפקודות פגומות.
התמונה, שמקורה מחשבון Docker Hub שנפגע ('nmlm99'), מבצעת סקריפט מעטפת ראשוני הידוע בשם Docker Gatling Gun ('TDGGinit.sh') כדי להפעיל משימות ניצול נוספות.
עדכון מרכזי שציינו החוקרים הוא המעבר של TeamTNT מהדלת האחורית של הצונאמי למסגרת ה-Sliver Command-and-Control (C2) לשליטה מרחוק על שרתים נגועים, המדגים התפתחות בטקטיקה. בנוסף, הקבוצה ממשיכה להשתמש במוסכמות שמות החתימה שלה, כולל Chimaera, TDGG ו-bioset (עבור פעולות C2), ומאשרת כי מדובר בקמפיין TeamTNT טיפוסי.
בקמפיין זה, TeamTNT משתמשת גם ב-AnonDNS (DNS אנונימי), שירות שנועד לשפר את האנונימיות והפרטיות בעת פתרון שאילתות DNS כדי להפנות תעבורה לשרת האינטרנט שלהם.
פושעי סייבר ממשיכים להפיץ כורי קריפטו
הממצאים מגיעים כאשר החוקרים שופכים אור על מסע פרסום חדש שכלל התקפת כוח גס ממוקד נגד לקוח ללא שם כדי לספק את הבוטנט לכריית קריפטו של Prometei .
Prometei מתפשט במערכת על ידי ניצול נקודות תורפה בפרוטוקול שולחן עבודה מרוחק (RDP) וב-Server Message Block (SMB), תוך הדגשת מאמציו של שחקן האיום בהגדרת התמדה, התחמקות מכלי אבטחה והשגת גישה עמוקה יותר לרשת הארגון באמצעות השלכת אישורים וצדדים. תְנוּעָה.
המכונות המושפעות מתחברות לשרת מאגר כרייה, שניתן להשתמש בו כדי לכרות מטבעות קריפטוגרפיים (Monero) במכונות שנפגעו ללא ידיעת הקורבן.
