Sliver kenkėjiška programa

Panašu, kad pagarsėjusi kriptovaliutų užkardymo grupė TeamTNT ruošiasi naujai didelio masto kampanijai, kurios tikslas – įsiskverbti į debesų aplinką, kad būtų galima išgauti kriptovaliutą ir išnuomoti pažeistus serverius trečiosioms šalims.

Jų dabartinė strategija apima:

• Atskleistų „Docker“ demonų naudojimas „Sliver“ kenkėjiškajai programai įdiegti.
• Kibernetinis kirminas ir kriptovaliutų kasėjas.
• Panaudoti tiek pažeistus serverius, tiek „Docker Hub“, kad būtų platinama grėsminga programinė įranga.

Ši veikla pabrėžia nuolatinę TeamTNT atakų metodų raidą. Jis nuosekliai prisitaiko pradėti sudėtingas, kelių etapų atakas, kuriomis siekiama pažeisti „Docker“ aplinką ir įtraukti jas į „Docker Swarm“.

„TeamTNT“ ne tik naudojo „Docker Hub“ savo kenksmingiems kroviniams priglobti ir platinti, bet ir išnuomoja aukų skaičiavimo galią kitoms šalims dėl neteisėto kriptovaliutų kasimo ir taip plečia savo pajamų srautus.

Šios kampanijos ženklai pasirodė anksčiau šį mėnesį, kai mokslininkai nustatė netradicines pastangas sukompromituoti Docker egzempliorius į Docker Swarm. Nors iš pradžių nesiryžo šių atakų priskirti tiesiogiai TeamTNT, tyrėjai dabar mano, kad operacija yra daug platesnė, nei buvo suprasta iš pradžių.

Kaip veikia naujosios TeamTNT atakos

Atakos apima neautentifikuotų, atskleistų Docker API galinių taškų aptikimą naudojant „masscan“ ir „ZGrab“, kad būtų galima įdiegti kriptovaliutų kasyklas ir įtraukti į Mining Rig Rentals platformos nuomojamą infrastruktūrą, leidžiančią TeamTNT vengti tiesiogiai valdyti šiuos išteklius, o tai pabrėžia jų neteisėto verslo modelio sudėtingumą.

Šiam procesui naudojamas atakos scenarijus, kuris nuskaito Docker demonus 2375, 2376, 4243 ir 4244 prievaduose maždaug 16,7 milijono IP adresų, tada diegia konteinerį su Alpine Linux atvaizdu, įdėtu sugadintomis komandomis.

Vaizdas, gautas iš pažeistos „Docker Hub“ paskyros („nmlm99“), vykdo pradinį apvalkalo scenarijų, žinomą kaip „Docker Gatling Gun“ („TDGGinit.sh“), kad būtų pradėtos tolimesnės eksploatavimo užduotys.

Pagrindinis naujinimas, kurį pastebėjo mokslininkai, yra TeamTNT perėjimas nuo cunamio užpakalinių durų prie Sliver Command-and-Control (C2) sistemos, skirtos nuotoliniam užkrėstų serverių valdymui, parodydamas taktikos evoliuciją. Be to, grupė ir toliau naudoja savo parašo įvardijimo konvencijas, įskaitant Chimaera, TDGG ir bioset (C2 operacijoms), patvirtindama, kad tai yra tipiška TeamTNT kampanija.

Šioje kampanijoje TeamTNT taip pat naudoja AnonDNS (anoniminį DNS) – paslaugą, skirtą anonimiškumui ir privatumui didinti sprendžiant DNS užklausas ir nukreipti srautą į savo žiniatinklio serverį.

Kibernetiniai nusikaltėliai ir toliau skleidžia kriptovaliutų kasėjus

Išvados buvo gautos, kai mokslininkai atskleidė naują kampaniją, apimančią tikslinę žiaurios jėgos ataką prieš neįvardytą klientą, kad būtų pristatytas „Prometei“ kriptovaliutų kasybos robotų tinklas.

„Prometei“ plinta sistemoje išnaudodama nuotolinio darbalaukio protokolo (RDP) ir serverio pranešimų bloko (SMB) spragas, pabrėždama grėsmės veikėjo pastangas nustatyti atkaklumą, išvengti saugos įrankių ir gauti gilesnę prieigą prie organizacijos tinklo per kredencialų išmetimą ir šoninį. judėjimas.

Paveiktos mašinos prisijungia prie kasybos telkinio serverio, kuris gali būti naudojamas išgauti kriptovaliutas (Monero) pažeistose mašinose be aukos žinios.