Sliver Malware

Šķiet, ka bēdīgi slavenā kriptovalūtu grupa TeamTNT gatavojas jaunai, liela mēroga kampaņai, kuras mērķis ir iefiltrēties mākoņdatošanas vidēs, lai iegūtu kriptovalūtu un iznomātu apdraudētus serverus trešajām pusēm.

Viņu pašreizējā stratēģija ietver:

• Atklāto Docker dēmonu izmantošana, lai izvietotu Sliver ļaunprātīgu programmatūru.
• Kibertārps un kriptogrāfijas ieguvējs.
• Izmantojot gan apdraudētos serverus, gan Docker Hub, lai izplatītu to draudīgo programmatūru.

Šīs aktivitātes izceļ TeamTNT pastāvīgo uzbrukumu metožu attīstību. Tā konsekventi pielāgojas, lai uzsāktu sarežģītus, daudzpakāpju uzbrukumus, kuru mērķis ir apdraudēt Docker vidi un piesaistīt tos Docker spietam.

Papildus Docker Hub izmantošanai, lai mitinātu un izplatītu savu ļaunprātīgo kravnesību, TeamTNT ir novērots, ka tas iznomā upuru skaitļošanas jaudu citām pusēm neatļautai kriptovalūtas ieguvei, paplašinot ieņēmumu plūsmas.

Šīs kampaņas pazīmes parādījās šā mēneša sākumā, kad pētnieki atklāja neparastus centienus grupēt apdraudētās Docker instances Docker Swarm. Lai gan sākotnēji vilcinājās šos uzbrukumus saistīt tieši ar TeamTNT, pētnieki tagad uzskata, ka operācija ir daudz plašāka, nekā sākotnēji tika saprasts.

Kā darbojas jaunie TeamTNT uzbrukumi

Uzbrukumi ietver neautentificētu, atklātu Docker API galapunktu noteikšanu, izmantojot masscan un ZGrab, lai izvietotu kriptoraktuves un uzskaitītu apdraudētu infrastruktūru, kas tiek īrēta Mining Rig Rentals platformā, ļaujot TeamTNT izvairīties no šo resursu tiešas pārvaldības, izceļot sava nelegālā biznesa modeļa izsmalcinātību.

Šajā procesā tiek izmantots uzbrukuma skripts, kas skenē Docker dēmonus portos 2375, 2376, 4243 un 4244 aptuveni 16,7 miljonos IP adrešu, pēc tam izvieto konteineru ar Alpine Linux attēlu, kurā ir iegultas bojātas komandas.

Attēls, kas iegūts no apdraudēta Docker Hub konta ('nmlm99'), izpilda sākotnējo apvalka skriptu, kas pazīstams kā Docker Gatling Gun ('TDGGinit.sh'), lai uzsāktu turpmākus ekspluatācijas uzdevumus.

Galvenais atjauninājums, ko atzīmējuši pētnieki, ir TeamTNT pāreja no cunami aizmugures durvīm uz Sliver Command-and-Control (C2) sistēmu inficēto serveru attālinātai vadībai, demonstrējot taktikas attīstību. Turklāt grupa turpina izmantot savus parakstu nosaukšanas noteikumus, tostarp Chimaera, TDGG un bioset (C2 operācijām), apstiprinot, ka šī ir tipiska TeamTNT kampaņa.

Šajā kampaņā TeamTNT izmanto arī AnonDNS (Anonymous DNS), pakalpojumu, kas paredzēts, lai uzlabotu anonimitāti un privātumu, risinot DNS vaicājumus, lai novirzītu trafiku uz savu tīmekļa serveri.

Kibernoziedznieki turpina izplatīt kriptogrāfijas ieguvējus

Rezultāti nāk, kad pētnieki atklāj jaunu kampaņu, kas ietvēra mērķtiecīgu brutālu spēku uzbrukumu nenosauktam klientam, lai piegādātu Prometei kriptoraktuves robottīklu.

Prometei izplatās sistēmā, izmantojot attālās darbvirsmas protokola (RDP) un servera ziņojumu bloka (SMB) ievainojamības, uzsverot apdraudējuma dalībnieku centienus iestatīt noturību, izvairīties no drošības rīkiem un iegūt dziļāku piekļuvi organizācijas tīklam, izmantojot akreditācijas datu dempingu un sānu. kustība.

Ietekmētās mašīnas izveido savienojumu ar ieguves baseina serveri, ko var izmantot kriptovalūtu (Monero) ieguvei apdraudētās iekārtās bez upura ziņas.