Sliver Malware

Úgy tűnik, a hírhedt kriptográfiai csoport, a TeamTNT egy új, nagyszabású kampányra készül, amelynek középpontjában a felhőalapú környezetek beszivárgása a kriptovaluta bányászata és a feltört szerverek harmadik feleknek történő bérbeadása.

Jelenlegi stratégiájuk a következőket tartalmazza:

• A kitett Docker démonok kihasználása a Sliver kártevő telepítésére.
• Kiberféreg és kripto-bányász.
• A veszélyeztetett kiszolgálók és a Docker Hub kihasználása fenyegető szoftvereik terjesztéséhez.

Ezek a tevékenységek rávilágítanak a TeamTNT támadási módszerek kitartó fejlődésére. Következetesen alkalmazkodik az összetett, többlépcsős támadások indításához, amelyek célja a Docker-környezetek kompromittálása és Docker Swarm-ba toborzása.

Amellett, hogy a Docker Hubot használta rosszindulatú rakományaik tárolására és elosztására, a TeamTNT az áldozatok számítási teljesítményét is bérbe adta más feleknek jogosulatlan kriptovaluta-bányászat céljából, növelve ezzel bevételi forrásait.

Ennek a kampánynak a jelei a hónap elején jelentek meg, amikor a kutatók nem szokványos erőfeszítéseket azonosítottak a kompromittált Docker-példányok Docker Swarmmá csoportosítására. Bár eleinte vonakodtak közvetlenül a TeamTNT-nek tulajdonítani ezeket a támadásokat, a kutatók most úgy vélik, hogy a művelet sokkal kiterjedtebb, mint azt eredetileg gondolták.

Hogyan működnek az új TeamTNT támadások

A támadások magukban foglalják a nem hitelesített, kitett Docker API-végpontok észlelését a masscan és a ZGrab segítségével, hogy kripto-bányászokat telepítsenek, és a feltört infrastruktúrát listázzák bérelhető Mining Rig Rentals platformon, lehetővé téve a TeamTNT számára, hogy elkerülje ezen erőforrások közvetlen kezelését – kiemelve tiltott üzleti modelljük kifinomultságát.

Ez a folyamat egy támadási szkriptet használ, amely a 2375-ös, 2376-os, 4243-as és 4244-es porton körülbelül 16,7 millió IP-címen átvizsgálja a Docker-démonokat, majd telepít egy tárolót egy Alpine Linux képfájlba, amely sérült parancsokat tartalmaz.

A feltört Docker Hub-fiókból ('nmlm99') származó képfájl a Docker Gatling Gun ('TDGGinit.sh') néven ismert kezdeti shell-szkriptet hajt végre további kiaknázási feladatok elindításához.

A kutatók egyik legfontosabb frissítése, hogy a TeamTNT a Tsunami hátsó ajtóról a fertőzött szerverek távvezérlésére szolgáló Sliver Command-and-Control (C2) keretrendszerre vált, ami a taktika fejlődését mutatja. Ezenkívül a csoport továbbra is használja aláírási elnevezési konvencióit, beleértve a Chimaera-t, a TDGG-t és a bioset-et (C2 műveletekhez), megerősítve, hogy ez egy tipikus TeamTNT kampány.

Ebben a kampányban a TeamTNT az AnonDNS-t (Anonymous DNS) is használja, egy olyan szolgáltatást, amely az anonimitást és az adatvédelmet hivatott javítani a DNS-lekérdezések megoldása során a forgalom webszerverére való átirányítása érdekében.

A kiberbűnözők továbbra is terjesztik a kriptobányászokat

Az eredmények akkor születtek, amikor a kutatók rávilágítottak egy új kampányra, amely egy meg nem nevezett ügyfél elleni célzott nyers erejű támadást jelentett a Prometei kriptobányászati botnet szállítása érdekében.

A Prometei úgy terjed a rendszerben, hogy kihasználja a Remote Desktop Protocol (RDP) és a Server Message Block (SMB) sérülékenységeit, kiemelve a fenyegető szereplők erőfeszítéseit a tartósság beállítására, a biztonsági eszközök kijátszására, valamint a hitelesítési adatok dömping és oldalsó hozzáférése révén a szervezet hálózatához való mélyebb hozzáférésre. mozgás.

Az érintett gépek egy bányászati pool szerverhez csatlakoznak, amivel az áldozat tudta nélkül kriptovalutákat (Monero) lehet bányászni a feltört gépeken.