មេរោគ Sliver

ក្រុម​ cryptojacking ដ៏ល្បីឈ្មោះ TeamTNT ហាក់ដូចជាកំពុងរៀបចំសម្រាប់យុទ្ធនាការទ្រង់ទ្រាយធំថ្មី ដែលផ្តោតលើការជ្រៀតចូលបរិស្ថានដើមកំណើតពពក ដើម្បីជីកយករ៉ែ cryptocurrency និងជួលម៉ាស៊ីនមេដែលសម្របសម្រួលទៅភាគីទីបី។

យុទ្ធសាស្ត្របច្ចុប្បន្នរបស់ពួកគេរួមមានៈ

• ការកេងប្រវ័ញ្ចដេមិន Docker ដែលលាតត្រដាងដើម្បីដាក់ពង្រាយមេរោគ Sliver ។
• ដង្កូវតាមអ៊ីនធឺណិត និង crypto-miner ។
• ការប្រើប្រាស់ទាំងម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល និង Docker Hub ដើម្បីផ្សព្វផ្សាយកម្មវិធីគំរាមកំហែងរបស់ពួកគេ។

សកម្មភាពទាំងនេះបង្ហាញពីការវិវត្តជាបន្តបន្ទាប់របស់ TeamTNT នៅក្នុងវិធីសាស្ត្រវាយប្រហារ។ វាសម្របខ្លួនបានជាប់លាប់ក្នុងការចាប់ផ្តើមការវាយប្រហារច្រើនដំណាក់កាលស្មុគស្មាញ សំដៅសម្រុះសម្រួលបរិស្ថាន Docker និងជ្រើសរើសពួកវាទៅក្នុង Docker Swarm ។

បន្ថែមពីលើការប្រើប្រាស់ Docker Hub ដើម្បីធ្វើជាម្ចាស់ផ្ទះ និងចែកចាយបន្ទុកដ៏អាក្រក់របស់ពួកគេ TeamTNT ត្រូវបានគេមើលឃើញថាកំពុងជួលថាមពលគណនារបស់ជនរងគ្រោះទៅឱ្យភាគីផ្សេងទៀតសម្រាប់ការជីកយករ៉ែគ្រីបតូដែលមិនមានការអនុញ្ញាត ដោយពង្រីកលំហូរប្រាក់ចំណូលរបស់ខ្លួន។

សញ្ញានៃយុទ្ធនាការនេះបានកើតឡើងនៅដើមខែនេះ នៅពេលដែលអ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណកិច្ចខិតខំប្រឹងប្រែងដែលមិនសមហេតុសមផលក្នុងការប្រមូលផ្តុំករណី Docker ដែលត្រូវបានសម្របសម្រួលទៅក្នុង Docker Swarm ។ ខណៈពេលដែលស្ទាក់ស្ទើរក្នុងការសន្មតថាការវាយប្រហារទាំងនេះទៅកាន់ TeamTNT ដោយផ្ទាល់ ឥឡូវនេះអ្នកស្រាវជ្រាវជឿថាប្រតិបត្តិការនេះគឺទូលំទូលាយជាងការយល់ឃើញដំបូង។

របៀបដែល TeamTNT វាយប្រហារថ្មីដំណើរការ

ការវាយប្រហារពាក់ព័ន្ធនឹងការរកឃើញចំណុចបញ្ចប់ Docker API ដែលមិនមានការផ្ទៀងផ្ទាត់ និងលាតត្រដាងតាមរយៈ masscan និង ZGrab ដើម្បីដាក់ពង្រាយ crypto-miners និងរាយបញ្ជីហេដ្ឋារចនាសម្ព័ន្ធដែលត្រូវបានសម្របសម្រួលសម្រាប់ការជួលនៅលើវេទិកា Mining Rig Rentals ដែលអនុញ្ញាតឱ្យ TeamTNT ជៀសវាងការគ្រប់គ្រងធនធានទាំងនេះដោយផ្ទាល់ - បញ្ជាក់ពីភាពទំនើបនៃគំរូអាជីវកម្មខុសច្បាប់របស់ពួកគេ។

ដំណើរការនេះប្រើស្គ្រីបវាយប្រហារដែលស្កេន Docker daemons នៅលើច្រក 2375, 2376, 4243 និង 4244 ឆ្លងកាត់អាសយដ្ឋាន IP ប្រមាណ 16.7 លាន បន្ទាប់មកដាក់ពង្រាយកុងតឺន័រដែលមានរូបភាព Alpine Linux ដែលបង្កប់ដោយពាក្យបញ្ជាដែលខូច។

រូបភាពដែលមានប្រភពមកពីគណនី Docker Hub ដែលត្រូវបានសម្របសម្រួល ('nmlm99') ដំណើរការស្គ្រីបសែលដំបូងដែលគេស្គាល់ថា Docker Gatling Gun ('TDGGinit.sh') ដើម្បីចាប់ផ្តើមការងារកេងប្រវ័ញ្ចបន្ថែមទៀត។

ការអាប់ដេតដ៏សំខាន់ដែលត្រូវបានកត់សម្គាល់ដោយអ្នកស្រាវជ្រាវគឺការផ្លាស់ប្តូររបស់ TeamTNT ពី Tsunami backdoor ទៅក្របខ័ណ្ឌ Sliver Command-and-Control (C2) សម្រាប់ការគ្រប់គ្រងពីចម្ងាយនៃម៉ាស៊ីនមេដែលមានមេរោគ ដែលបង្ហាញពីការវិវត្តនៃយុទ្ធសាស្ត្រ។ លើសពីនេះទៀត ក្រុមនៅតែបន្តប្រើអនុសញ្ញាដាក់ឈ្មោះហត្ថលេខារបស់ខ្លួន រួមទាំង Chimaera, TDGG និង bioset (សម្រាប់ប្រតិបត្តិការ C2) ដោយបញ្ជាក់ថានេះគឺជាយុទ្ធនាការ TeamTNT ធម្មតា។

នៅក្នុងយុទ្ធនាការនេះ TeamTNT ក៏កំពុងប្រើប្រាស់ AnonDNS (Anonymous DNS) ដែលជាសេវាកម្មដែលត្រូវបានរចនាឡើងដើម្បីបង្កើនភាពអនាមិក និងភាពឯកជន នៅពេលដោះស្រាយសំណួរ DNS ដើម្បីប្តូរទិសចរាចរទៅកាន់ម៉ាស៊ីនមេគេហទំព័ររបស់ពួកគេ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តរីករាលដាល Crypto-Miners

ការរកឃើញនេះកើតឡើងនៅពេលដែលអ្នកស្រាវជ្រាវបានបញ្ចេញពន្លឺលើយុទ្ធនាការថ្មីមួយដែលពាក់ព័ន្ធនឹងការវាយប្រហារដោយបង្ខំគោលដៅប្រឆាំងនឹងអតិថិជនដែលមិនបញ្ចេញឈ្មោះដើម្បីចែកចាយ botnet ការជីកយករ៉ែគ្រីបតូ Prometei ។

Prometei រីករាលដាលនៅក្នុងប្រព័ន្ធដោយការទាញយកភាពងាយរងគ្រោះនៅក្នុង Remote Desktop Protocol (RDP) និង Server Message Block (SMB) ដោយបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងរបស់តួអង្គគំរាមកំហែងលើការដំឡើងការតស៊ូ គេចចេញពីឧបករណ៍សុវត្ថិភាព និងការទទួលបានកាន់តែស៊ីជម្រៅទៅកាន់បណ្តាញរបស់អង្គការតាមរយៈការបោះចោលព័ត៌មានសម្ងាត់ និងនៅពេលក្រោយ។ ចលនា។

ម៉ាស៊ីនដែលរងផលប៉ះពាល់បានភ្ជាប់ទៅម៉ាស៊ីនមេអាងរុករករ៉ែ ដែលអាចត្រូវបានប្រើដើម្បីរុករករូបិយប័ណ្ណគ្រីបតូ (Monero) នៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួលដោយមិនចាំបាច់ដឹងពីជនរងគ្រោះ។