Sliver Malware

Sembra che il famigerato gruppo di cryptojacking TeamTNT si stia preparando per una nuova campagna su larga scala incentrata sull'infiltrazione in ambienti cloud-native per estrarre criptovalute e affittare server compromessi a terze parti.

La loro strategia attuale prevede:

• Sfruttamento dei daemon Docker esposti per distribuire il malware Sliver.
• Un cyberworm e un cripto-minatore.
• Sfruttando sia i server compromessi sia Docker Hub per diffondere il loro software minaccioso.

Queste attività evidenziano la persistente evoluzione di TeamTNT nei metodi di attacco. Si adatta costantemente per lanciare attacchi complessi e multi-fase volti a compromettere gli ambienti Docker e a reclutarli in uno sciame Docker.

Oltre a utilizzare Docker Hub per ospitare e distribuire i propri payload malevoli, TeamTNT è stata vista affittare la potenza di calcolo delle vittime a terzi per il mining non autorizzato di criptovalute, espandendo così i propri flussi di entrate.

I segnali di questa campagna sono emersi all'inizio di questo mese, quando i ricercatori hanno identificato tentativi non ortodossi di raggruppare istanze Docker compromesse in un Docker Swarm. Sebbene inizialmente esitanti nell'attribuire questi attacchi direttamente a TeamTNT, i ricercatori ora ritengono che l'operazione sia molto più estesa di quanto inizialmente pensato.

Come funzionano i nuovi attacchi TeamTNT

Gli attacchi comportano il rilevamento di endpoint Docker API non autenticati ed esposti tramite masscan e ZGrab per distribuire crypto-miner ed elencare le infrastrutture compromesse da affittare sulla piattaforma Mining Rig Rentals, consentendo a TeamTNT di evitare di gestire direttamente queste risorse, evidenziando la complessità del loro modello di business illecito.

Questo processo utilizza uno script di attacco che esegue la scansione dei daemon Docker sulle porte 2375, 2376, 4243 e 4244 su circa 16,7 milioni di indirizzi IP, quindi distribuisce un contenitore con un'immagine Alpine Linux incorporata con comandi corrotti.

L'immagine, proveniente da un account Docker Hub compromesso ('nmlm99'), esegue uno script shell iniziale noto come Docker Gatling Gun ('TDGGinit.sh') per avviare ulteriori attività di sfruttamento.

Un aggiornamento chiave notato dai ricercatori è il passaggio di TeamTNT dal backdoor Tsunami al framework Sliver Command-and-Control (C2) per il controllo remoto dei server infetti, dimostrando un'evoluzione nelle tattiche. Inoltre, il gruppo continua a utilizzare le sue convenzioni di denominazione distintive, tra cui Chimaera, TDGG e bioset (per le operazioni C2), confermando che questa è una tipica campagna di TeamTNT.

In questa campagna, TeamTNT sta utilizzando anche AnonDNS (Anonymous DNS), un servizio progettato per migliorare l'anonimato e la privacy durante la risoluzione delle query DNS per reindirizzare il traffico al proprio server web.

I criminali informatici continuano a diffondere i crypto-miner

I risultati emergono mentre i ricercatori fanno luce su una nuova campagna che prevedeva un attacco brute force mirato contro un cliente anonimo per diffondere la botnet di crypto-mining Prometei .

Prometei si diffonde nel sistema sfruttando le vulnerabilità del Remote Desktop Protocol (RDP) e del Server Message Block (SMB), evidenziando gli sforzi dell'autore della minaccia nel creare persistenza, eludere gli strumenti di sicurezza e ottenere un accesso più approfondito alla rete di un'organizzazione tramite il dumping delle credenziali e lo spostamento laterale.

I computer interessati si collegano a un server di mining pool, che può essere utilizzato per estrarre criptovalute (Monero) su computer compromessi all'insaputa della vittima.