Sliver Malware

Kumpulan penjahat kripto yang terkenal TeamTNT nampaknya sedang bersiap sedia untuk kempen berskala besar yang baru yang memfokuskan pada persekitaran asli awan yang menyusup untuk melombong mata wang kripto dan menyewa pelayan yang terjejas kepada pihak ketiga.

Strategi semasa mereka melibatkan:

• Mengeksploitasi daemon Docker terdedah untuk menggunakan perisian hasad Sliver.
• Cacing siber dan pelombong kripto.
• Memanfaatkan kedua-dua pelayan yang terjejas dan Docker Hub untuk menyebarkan perisian mengancam mereka.

Aktiviti ini menyerlahkan evolusi berterusan TeamTNT dalam kaedah serangan. Ia secara konsisten menyesuaikan diri untuk melancarkan serangan berbilang peringkat yang kompleks yang bertujuan untuk menjejaskan persekitaran Docker dan merekrut mereka ke dalam Docker Swarm.

Selain menggunakan Docker Hub untuk mengehoskan dan mengedarkan muatan jahat mereka, TeamTNT telah dilihat menyewakan kuasa pengiraan mangsa kepada pihak lain untuk perlombongan mata wang kripto tanpa kebenaran, mengembangkan aliran pendapatannya.

Tanda-tanda kempen ini muncul awal bulan ini apabila penyelidik mengenal pasti usaha yang tidak lazim untuk mengelompokkan kejadian Docker yang terjejas ke dalam Docker Swarm. Walaupun pada mulanya teragak-agak untuk mengaitkan serangan ini kepada TeamTNT secara langsung, penyelidik kini percaya operasi itu jauh lebih luas daripada yang difahami pada mulanya.

Cara Serangan TeamTNT Baharu Berfungsi

Serangan melibatkan pengesanan titik akhir Docker API yang tidak disahkan dan terdedah melalui imbasan besar-besaran dan ZGrab untuk menggunakan pelombong kripto dan menyenaraikan infrastruktur yang terjejas untuk disewa pada platform Mining Rig Rentals, membolehkan TeamTNT mengelak daripada mengurus sumber ini secara langsung—menonjolkan kecanggihan model perniagaan haram mereka.

Proses ini menggunakan skrip serangan yang mengimbas daemon Docker pada port 2375, 2376, 4243 dan 4244 merentasi kira-kira 16.7 juta alamat IP, kemudian menggunakan bekas dengan imej Alpine Linux yang dibenamkan dengan arahan yang rosak.

Imej itu, yang diperoleh daripada akaun Docker Hub ('nmlm99') yang terjejas, melaksanakan skrip shell awal yang dikenali sebagai Docker Gatling Gun ('TDGGinit.sh') untuk melancarkan tugas eksploitasi selanjutnya.

Kemas kini penting yang dicatat oleh penyelidik ialah peralihan TeamTNT dari pintu belakang Tsunami kepada rangka kerja Sliver Command-and-Control (C2) untuk kawalan jauh pelayan yang dijangkiti, menunjukkan evolusi dalam taktik. Selain itu, kumpulan itu terus menggunakan konvensyen penamaan tandatangannya, termasuk Chimaera, TDGG dan bioset (untuk operasi C2), mengesahkan bahawa ini adalah kempen TeamTNT biasa.

Dalam kempen ini, TeamTNT juga menggunakan AnonDNS (Anonymous DNS), perkhidmatan yang direka untuk meningkatkan kerahasiaan dan privasi apabila menyelesaikan pertanyaan DNS untuk mengubah hala trafik ke pelayan web mereka.

Penjenayah Siber Terus Menyebarkan Pelombong Kripto

Penemuan itu datang ketika penyelidik menjelaskan kempen baharu yang melibatkan serangan kekerasan yang disasarkan terhadap pelanggan yang tidak dinamakan untuk menyampaikan botnet perlombongan kripto Prometei .

Prometei merebak dalam sistem dengan mengeksploitasi kelemahan dalam Protokol Desktop Jauh (RDP) dan Blok Mesej Pelayan (SMB), menyerlahkan usaha pelaku ancaman dalam menyediakan kegigihan, mengelakkan alatan keselamatan dan mendapatkan akses yang lebih mendalam kepada rangkaian organisasi melalui lambakan kelayakan dan sisi pergerakan.

Mesin yang terjejas bersambung ke pelayan kolam perlombongan, yang boleh digunakan untuk melombong mata wang kripto (Monero) pada mesin yang terjejas tanpa pengetahuan mangsa.