Sliver Malware

악명 높은 크립토재킹 그룹 TeamTNT가 클라우드 기반 환경에 침투해 암호화폐를 채굴하고 손상된 서버를 제3자에게 임대하는 것에 초점을 맞춘 새로운 대규모 캠페인을 준비하고 있는 것으로 보입니다.

현재 그들의 전략은 다음과 같습니다.

• 노출된 Docker 데몬을 악용하여 Sliver 맬웨어를 배포합니다.
• 사이버 웜이자 암호화폐 채굴자.
• 침해된 서버와 Docker Hub를 모두 활용하여 위협적인 소프트웨어를 확산시킵니다.

이러한 활동은 TeamTNT의 공격 방법에서 지속적인 진화를 강조합니다. Docker 환경을 손상시키고 Docker Swarm에 모집하는 것을 목표로 하는 복잡하고 다단계적인 공격을 시작하기 위해 지속적으로 적응합니다.

TeamTNT는 Docker Hub를 사용하여 악성 페이로드를 호스팅하고 배포하는 것 외에도, 승인되지 않은 암호화폐 채굴을 위해 피해자의 컴퓨팅 파워를 다른 당사자에게 임대하여 수익을 늘리는 것으로 나타났습니다.

이 캠페인의 징후는 이번 달 초 연구자들이 손상된 Docker 인스턴스를 Docker Swarm으로 클러스터링하려는 이례적인 노력을 발견했을 때 나타났습니다. 처음에는 이러한 공격을 TeamTNT에 직접 기인시키는 데 주저했지만, 연구자들은 이제 이 작전이 처음에 이해했던 것보다 훨씬 더 광범위하다고 생각합니다.

새로운 TeamTNT 공격의 작동 방식

이 공격에는 대량 스캔과 ZGrab을 통해 인증되지 않고 노출된 Docker API 엔드포인트를 감지하여 암호 채굴기를 배포하고 손상된 인프라를 채굴 장비 대여 플랫폼에 임대하도록 나열하는 작업이 포함됩니다. 이를 통해 TeamTNT는 이러한 리소스를 직접 관리하지 않아도 되며, 불법적인 사업 모델이 얼마나 정교한지 드러납니다.

이 프로세스는 약 1,670만 개의 IP 주소에서 포트 2375, 2376, 4243, 4244에서 Docker 데몬을 스캔하는 공격 스크립트를 사용한 다음, 손상된 명령이 포함된 Alpine Linux 이미지가 있는 컨테이너를 배포합니다.

손상된 Docker Hub 계정('nmlm99')에서 나온 이미지는 Docker Gatling Gun('TDGGinit.sh')이라는 초기 셸 스크립트를 실행하여 추가적인 악용 작업을 시작합니다.

연구자들이 지적한 주요 업데이트는 TeamTNT가 쓰나미 백도어에서 감염된 서버의 원격 제어를 위한 Sliver Command-and-Control(C2) 프레임워크로 전환한 것으로, 전술의 진화를 보여줍니다. 또한 이 그룹은 Chimaera, TDGG, bioset(C2 작업용)을 포함한 고유한 명명 규칙을 계속 사용하여 이것이 전형적인 TeamTNT 캠페인임을 확인합니다.

이 캠페인에서 TeamTNT는 AnonDNS(익명 DNS)도 활용하고 있습니다. 이 서비스는 웹 서버로 트래픽을 리디렉션하는 DNS 쿼리를 해결할 때 익명성과 개인 정보 보호를 강화하도록 설계되었습니다.

사이버 범죄자들이 계속해서 암호 채굴자를 퍼뜨리고 있습니다.

연구자들은 익명의 고객을 대상으로 Prometei 암호화폐 채굴 봇넷을 전파하기 위해 무차별 대입 공격을 포함한 새로운 캠페인에 대해 알아냈습니다.

Prometei는 원격 데스크톱 프로토콜(RDP)과 서버 메시지 블록(SMB)의 취약점을 악용하여 시스템에 퍼져나가며, 위협 행위자가 지속성을 설정하고, 보안 도구를 회피하고, 자격 증명 덤핑 및 측면 이동을 통해 조직의 네트워크에 더 깊이 침투하려는 노력을 보여줍니다.

영향을 받은 기계는 채굴 풀 서버에 연결되는데, 이를 통해 피해자의 동의 없이 침해된 기계에서 암호화폐(모네로)를 채굴할 수 있습니다.