Sliver Malware

कुख्यात क्रिप्टोजैकिंग समूह टीमटीएनटी एक नए, बड़े पैमाने के अभियान के लिए कमर कस रहा है, जिसका उद्देश्य क्लाउड-नेटिव वातावरण में घुसपैठ करके क्रिप्टोकरेंसी का खनन करना और तीसरे पक्ष को समझौता किए गए सर्वरों को किराए पर देना है।

उनकी वर्तमान रणनीति में शामिल हैं:

• स्लिवर मैलवेयर को तैनात करने के लिए उजागर डॉकर डेमॉन का शोषण करना।
• एक साइबर वर्म और क्रिप्टो-माइनर।
• अपने खतरनाक सॉफ्टवेयर को फैलाने के लिए समझौता किए गए सर्वर और डॉकर हब दोनों का लाभ उठाना।

ये गतिविधियाँ टीमटीएनटी के हमले के तरीकों में लगातार विकास को उजागर करती हैं। यह लगातार जटिल, बहु-चरणीय हमलों को लॉन्च करने के लिए अनुकूलित होता है जिसका उद्देश्य डॉकर वातावरण से समझौता करना और उन्हें डॉकर झुंड में भर्ती करना है।

अपने दुर्भावनापूर्ण पेलोड को होस्ट करने और वितरित करने के लिए डॉकर हब का उपयोग करने के अलावा, टीमटीएनटी को अपने राजस्व स्रोतों का विस्तार करते हुए, अनधिकृत क्रिप्टोकरेंसी माइनिंग के लिए पीड़ितों की कम्प्यूटेशनल शक्ति को अन्य पक्षों को किराए पर देते हुए देखा गया है।

इस अभियान के संकेत इस महीने की शुरुआत में तब सामने आए जब शोधकर्ताओं ने समझौता किए गए Docker इंस्टेंस को Docker Swarm में समूहित करने के अपरंपरागत प्रयासों की पहचान की। हालांकि शुरू में इन हमलों को सीधे TeamTNT को जिम्मेदार ठहराने में संकोच किया गया था, लेकिन अब शोधकर्ताओं का मानना है कि यह ऑपरेशन शुरू में समझे जाने से कहीं अधिक व्यापक है।

नए TeamTNT हमले कैसे काम करते हैं

इन हमलों में क्रिप्टो-माइनर्स को तैनात करने और माइनिंग रिग रेंटल्स प्लेटफॉर्म पर किराए के लिए समझौता किए गए बुनियादी ढांचे को सूचीबद्ध करने के लिए मासकैन और जेडग्रैब के माध्यम से अप्रमाणित, उजागर डॉकर एपीआई एंडपॉइंट्स का पता लगाना शामिल है, जिससे टीमटीएनटी को इन संसाधनों को सीधे प्रबंधित करने से बचने की अनुमति मिलती है - जो उनके अवैध व्यापार मॉडल के परिष्कार को उजागर करता है।

यह प्रक्रिया एक आक्रमण स्क्रिप्ट का उपयोग करती है जो लगभग 16.7 मिलियन IP पतों पर पोर्ट 2375, 2376, 4243 और 4244 पर Docker डेमन्स को स्कैन करती है, फिर दूषित कमांडों के साथ एम्बेडेड अल्पाइन लिनक्स छवि के साथ एक कंटेनर तैनात करती है।

यह छवि, एक समझौता किए गए डॉकर हब खाते ('nmlm99') से प्राप्त हुई है, जो आगे के शोषण कार्यों को शुरू करने के लिए डॉकर गैटलिंग गन ('TDGGinit.sh') के रूप में ज्ञात एक प्रारंभिक शेल स्क्रिप्ट को निष्पादित करती है।

शोधकर्ताओं द्वारा नोट किया गया एक महत्वपूर्ण अपडेट यह है कि संक्रमित सर्वरों के रिमोट कंट्रोल के लिए टीमटीएनटी ने सुनामी बैकडोर से स्लिवर कमांड-एंड-कंट्रोल (सी2) फ्रेमवर्क में बदलाव किया है, जो रणनीति में विकास को दर्शाता है। इसके अतिरिक्त, समूह ने अपने सिग्नेचर नामकरण सम्मेलनों का उपयोग करना जारी रखा है, जिसमें चिमेरा, टीडीजीजी और बायोसेट (सी2 संचालन के लिए) शामिल हैं, जो पुष्टि करता है कि यह एक विशिष्ट टीमटीएनटी अभियान है।

इस अभियान में, TeamTNT, AnonDNS (अनाम DNS) का भी उपयोग कर रहा है, जो एक ऐसी सेवा है जो ट्रैफ़िक को उनके वेब सर्वर पर पुनर्निर्देशित करने के लिए DNS क्वेरीज़ को हल करते समय गुमनामी और गोपनीयता को बढ़ाने के लिए डिज़ाइन की गई है।

साइबर अपराधी क्रिप्टो-माइनर्स का प्रसार जारी रख रहे हैं

यह निष्कर्ष ऐसे समय में सामने आया है जब शोधकर्ताओं ने एक नए अभियान पर प्रकाश डाला है जिसमें प्रोमेटेई क्रिप्टो-माइनिंग बॉटनेट वितरित करने के लिए एक अनाम ग्राहक के विरुद्ध लक्षित क्रूर-बल हमला किया गया था।

प्रोमेटेई रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) और सर्वर मैसेज ब्लॉक (एसएमबी) में कमजोरियों का फायदा उठाकर सिस्टम में फैलता है, जिससे खतरा पैदा करने वाले व्यक्ति के दृढ़ता स्थापित करने, सुरक्षा उपकरणों से बचने, तथा क्रेडेंशियल डंपिंग और लेटरल मूवमेंट के माध्यम से संगठन के नेटवर्क तक गहरी पहुंच प्राप्त करने के प्रयासों पर प्रकाश पड़ता है।

प्रभावित मशीनें एक माइनिंग पूल सर्वर से जुड़ती हैं, जिसका उपयोग पीड़ित की जानकारी के बिना, प्रभावित मशीनों पर क्रिप्टोकरेंसी (मोनरो) माइन करने के लिए किया जा सकता है।