Sliver Malware

Den beryktede kryptojacking-gruppen TeamTNT ser ut til å forberede seg på en ny, storstilt kampanje med fokus på å infiltrere skybaserte miljøer for å utvinne kryptovaluta og leie ut kompromitterte servere til tredjeparter.

Deres nåværende strategi innebærer:

• Utnyttelse av utsatte Docker-demoner for å distribuere Sliver-malware.
• En cyberorm og kryptogruvearbeider.
• Utnytter både kompromitterte servere og Docker Hub for å spre deres truende programvare.

Disse aktivitetene fremhever TeamTNTs vedvarende utvikling innen angrepsmetoder. Den tilpasser seg konsekvent for å starte komplekse, flertrinnsangrep rettet mot å kompromittere Docker-miljøer og rekruttere dem til en Docker Swarm.

I tillegg til å bruke Docker Hub til å være vert for og distribuere deres ondsinnede nyttelaster, har TeamTNT blitt sett å leie ut ofrenes beregningskraft til andre parter for uautorisert gruvedrift av kryptovaluta, og utvide inntektsstrømmene.

Tegn på denne kampanjen dukket opp tidligere denne måneden da forskere identifiserte uortodokse forsøk på å gruppere kompromitterte Docker-forekomster til en Docker Swarm. Mens de i utgangspunktet nølte med å tilskrive disse angrepene direkte til TeamTNT, mener forskere nå at operasjonen er langt mer omfattende enn først antatt.

Hvordan de nye TeamTNT-angrepene fungerer

Angrepene involverer å oppdage uautentiserte, eksponerte Docker API-endepunkter gjennom Masscan og ZGrab for å distribuere kryptogruvearbeidere og liste kompromittert infrastruktur for leie på Mining Rig Rentals-plattformen, slik at TeamTNT kan unngå å administrere disse ressursene direkte – noe som fremhever sofistikeringen av deres ulovlige forretningsmodell.

Denne prosessen bruker et angrepsskript som skanner Docker-demoner på portene 2375, 2376, 4243 og 4244 på tvers av omtrent 16,7 millioner IP-adresser, og distribuerer deretter en beholder med et Alpine Linux-bilde innebygd med ødelagte kommandoer.

Bildet, hentet fra en kompromittert Docker Hub-konto ('nmlm99'), kjører et innledende shell-skript kjent som Docker Gatling Gun ('TDGGinit.sh') for å starte ytterligere utnyttelsesoppgaver.

En viktig oppdatering bemerket av forskerne er TeamTNTs skifte fra Tsunami-bakdøren til Sliver Command-and-Control (C2)-rammeverket for fjernkontroll av infiserte servere, noe som demonstrerer en evolusjon i taktikk. I tillegg fortsetter gruppen å bruke sine signaturnavnekonvensjoner, inkludert Chimaera, TDGG og bioset (for C2-operasjoner), og bekrefter at dette er en typisk TeamTNT-kampanje.

I denne kampanjen bruker TeamTNT også AnonDNS (Anonym DNS), en tjeneste designet for å forbedre anonymitet og personvern når de løser DNS-spørsmål for å omdirigere trafikk til deres webserver.

Cyberkriminelle fortsetter å spre kryptogruvearbeidere

Funnene kommer når forskere kaster lys over en ny kampanje som involverte et målrettet brute-force-angrep mot en ikke navngitt kunde for å levere Prometei -kryptogruve-botnettet.

Prometei sprer seg i systemet ved å utnytte sårbarheter i Remote Desktop Protocol (RDP) og Server Message Block (SMB), og fremhever trusselaktørens innsats for å sette opp persistens, unndra sikkerhetsverktøy og få dypere tilgang til en organisasjons nettverk gjennom legitimasjonsdumping og sideveis. bevegelse.

De berørte maskinene kobles til en gruvebassengserver, som kan brukes til å mine kryptovalutaer (Monero) på kompromitterte maskiner uten offerets viten.