Sliver Malware

Čini se da se ozloglašena skupina za kriptovalute TeamTNT sprema za novu, veliku kampanju usmjerenu na infiltraciju u izvorna okruženja u oblaku radi rudarenja kriptovalute i iznajmljivanja kompromitiranih poslužitelja trećim stranama.

Njihova trenutna strategija uključuje:

• Iskorištavanje izloženih Docker demona za implementaciju zlonamjernog softvera Sliver.
• Cyber crv i kripto rudar.
• Iskorištavanje kompromitiranih poslužitelja i Docker Huba za širenje njihovog prijetećeg softvera.

Ove aktivnosti ističu TeamTNT-ovu upornu evoluciju u metodama napada. Dosljedno se prilagođava za pokretanje složenih, višefaznih napada usmjerenih na kompromitiranje Docker okruženja i njihovo regrutiranje u Docker Swarm.

Osim što koristi Docker Hub za hostiranje i distribuciju svojih zlonamjernih korisnih opterećenja, TeamTNT je viđen kako iznajmljuje računalnu snagu žrtava drugim stranama za neovlašteno rudarenje kriptovaluta, proširujući svoje tokove prihoda.

Znakovi ove kampanje pojavili su se ranije ovog mjeseca kada su istraživači identificirali neortodoksne pokušaje grupiranja kompromitiranih Docker instanci u Docker Swarm. Iako su u početku oklijevali pripisati ove napade izravno TeamTNT-u, istraživači sada vjeruju da je operacija daleko opsežnija nego što se u početku mislilo.

Kako funkcioniraju novi napadi TeamTNT

Napadi uključuju otkrivanje neautentificiranih, izloženih krajnjih točaka Docker API-ja putem masscan-a i ZGrab-a za implementaciju kripto-rudara i popis kompromitirane infrastrukture za iznajmljivanje na platformi Mining Rig Rentals, omogućujući TeamTNT-u da izbjegne izravno upravljanje tim resursima—naglašavajući sofisticiranost njihovog nezakonitog poslovnog modela.

Ovaj proces koristi skriptu za napad koja skenira Docker demone na portovima 2375, 2376, 4243 i 4244 preko približno 16,7 milijuna IP adresa, a zatim postavlja spremnik sa slikom Alpine Linuxa ugrađenom s oštećenim naredbama.

Slika, koja potječe iz kompromitiranog računa Docker Hub-a ('nmlm99'), izvršava početnu skriptu ljuske poznatu kao Docker Gatling Gun ('TDGGinit.sh') za pokretanje daljnjih eksploatacijskih zadataka.

Ključno ažuriranje koje su uočili istraživači je prijelaz TeamTNT-a s Tsunami backdoor-a na okvir Sliver Command-and-Control (C2) za daljinsko upravljanje zaraženim poslužiteljima, što pokazuje evoluciju u taktici. Osim toga, grupa nastavlja koristiti svoje konvencije imenovanja potpisa, uključujući Chimaera, TDGG i bioset (za C2 operacije), potvrđujući da je ovo tipična kampanja TeamTNT-a.

U ovoj kampanji TeamTNT također koristi AnonDNS (Anonymous DNS), uslugu osmišljenu za povećanje anonimnosti i privatnosti prilikom rješavanja DNS upita za preusmjeravanje prometa na njihov web poslužitelj.

Cyberkriminalci nastavljaju širiti kripto rudare

Nalazi su došli dok su istraživači bacili svjetlo na novu kampanju koja je uključivala ciljani brutalni napad na neimenovanog korisnika kako bi se isporučio botnet za kripto rudarenje Prometei .

Prometei se širi u sustavu iskorištavanjem ranjivosti u Remote Desktop Protocol (RDP) i Server Message Block (SMB), ističući napore aktera prijetnje na postavljanju postojanosti, izbjegavanju sigurnosnih alata i dobivanju dubljeg pristupa mreži organizacije putem izbacivanja vjerodajnica i bočnih pokret.

Pogođeni strojevi povezuju se s serverom za rudarenje, koji se može koristiti za rudarenje kriptovaluta (Monero) na kompromitiranim strojevima bez znanja žrtve.