Sliver मालवेयर
कुख्यात क्रिप्टोज्याकिंग समूह TeamTNT ले क्रिप्टोकरेन्सी खानीमा क्लाउड-नेटिभ वातावरणमा घुसपैठ गर्ने र तेस्रो पक्षहरूलाई सम्झौता गरिएका सर्भरहरू भाडामा केन्द्रित गर्ने नयाँ, ठूलो-स्तरीय अभियानको लागि तयारी गरिरहेको देखिन्छ।
तिनीहरूको वर्तमान रणनीति समावेश छ:
- Sliver मालवेयर डिप्लोय गर्नको लागि पर्दाफाश डकर डेमनहरूको शोषण।
- एक साइबर कीरा र क्रिप्टो-खनिक।
- दुवै सम्झौता गरिएका सर्भरहरू र डकर हब तिनीहरूको धम्कीपूर्ण सफ्टवेयर फैलाउन लाभ उठाउँदै।
यी गतिविधिहरूले आक्रमण विधिहरूमा TeamTNT को निरन्तर विकासलाई हाइलाइट गर्दछ। यसले लगातार जटिल, बहु-चरण आक्रमणहरू सुरु गर्न अनुकूलन गर्दछ जसको उद्देश्य डकर वातावरणमा सम्झौता गर्ने र तिनीहरूलाई डकर स्वार्ममा भर्ती गर्ने।
Docker Hub को प्रयोग गर्नुको साथै तिनीहरूको खराब पेलोडहरू होस्ट गर्न र वितरण गर्नका लागि, TeamTNT ले पीडितहरूको कम्प्युटेशनल शक्ति अन्य पक्षहरूलाई अनाधिकृत क्रिप्टोकरेन्सी खननका लागि भाडामा दिँदै, यसको राजस्व स्ट्रिमहरू विस्तार गरेको देखियो।
यस अभियानका संकेतहरू यस महिनाको सुरुमा देखा पर्यो जब अन्वेषकहरूले डकर स्वार्ममा सम्झौता गरिएको डकर उदाहरणहरू क्लस्टर गर्न अपरंपरागत प्रयासहरू पहिचान गरे। प्रारम्भमा यी आक्रमणहरूलाई TeamTNT लाई सीधै श्रेय दिन हिचकिचाउँदा, अन्वेषकहरू अब विश्वास गर्छन् कि यो अपरेशन सुरुमा बुझिएको भन्दा धेरै व्यापक छ।
नयाँ TeamTNT आक्रमणहरूले कसरी काम गर्छ
आक्रमणहरूमा मास्कन र ZGrab मार्फत क्रिप्टो-खनिकहरू डिप्लोय गर्न र माइनिङ रिग भाडा प्लेटफर्ममा भाडाका लागि सम्झौता गरिएको पूर्वाधारहरू सूचीबद्ध गर्न अप्रमाणित, उजागर गरिएको डकर API एन्डपोइन्टहरू पत्ता लगाउने समावेश छ, जसले TeamTNT लाई यी स्रोतहरू सीधै प्रबन्ध गर्नबाट बच्न अनुमति दिन्छ — तिनीहरूको अवैध व्यापार मोडेलको परिष्कारलाई हाइलाइट गर्दै।
यो प्रक्रियाले आक्रमण स्क्रिप्ट प्रयोग गर्दछ जसले लगभग 16.7 मिलियन आईपी ठेगानाहरूमा पोर्टहरू 2375, 2376, 4243, र 4244 मा डकर डेमनहरू स्क्यान गर्दछ, त्यसपछि भ्रष्ट आदेशहरूसँग एम्बेड गरिएको अल्पाइन लिनक्स छविको साथ कन्टेनर तैनात गर्दछ।
सम्झौता भएको डकर हब खाता ('nmlm99') बाट सोर्स गरिएको छविले थप शोषण कार्यहरू सुरु गर्न डकर ग्याटलिंग गन ('TDGGinit.sh') भनेर चिनिने प्रारम्भिक शेल स्क्रिप्ट कार्यान्वयन गर्दछ।
अनुसन्धानकर्ताहरूले उल्लेख गरेको एउटा प्रमुख अपडेट भनेको TeamTNT ले सुनामी ब्याकडोरबाट संक्रमित सर्भरहरूको रिमोट कन्ट्रोलको लागि Sliver Command-and-Control (C2) ढाँचामा परिवर्तन गर्नु हो, जसले रणनीतिमा विकासको प्रदर्शन गर्दछ। थप रूपमा, समूहले Chimaera, TDGG, र बायोसेट (C2 अपरेसनहरूका लागि) सहित, यो एक विशिष्ट TeamTNT अभियान हो भनेर पुष्टि गर्दै आफ्नो हस्ताक्षर नामकरण सम्मेलनहरू प्रयोग गर्न जारी राख्छ।
यस अभियानमा, TeamTNT ले AnonDNS (अनोनिमस DNS) को पनि उपयोग गरिरहेको छ, जुन सेवालाई आफ्नो वेब सर्भरमा ट्राफिक रिडिरेक्ट गर्न DNS प्रश्नहरू समाधान गर्दा अज्ञातता र गोपनीयता बढाउन डिजाइन गरिएको हो।
साइबर अपराधीहरूले क्रिप्टो-माइनरहरू फैलाउन जारी राख्छन्
शोधकर्ताहरूले प्रोमेटी क्रिप्टो-खनन बोटनेट डेलिभर गर्न अज्ञात ग्राहक विरुद्ध लक्षित ब्रूट-फोर्स आक्रमण समावेश गर्ने नयाँ अभियानमा प्रकाश पार्दा निष्कर्षहरू आए।
Prometei प्रणालीमा रिमोट डेस्कटप प्रोटोकल (RDP) र सर्भर सन्देश ब्लक (SMB) मा कमजोरीहरूको शोषण गरेर, दृढता स्थापित गर्न, सुरक्षा उपकरणहरू बेवास्ता गर्ने, र क्रेडेन्सियल डम्पिङ र पार्श्व मार्फत संगठनको नेटवर्कमा गहिरो पहुँच प्राप्त गर्ने खतरा अभिनेताको प्रयासलाई हाइलाइट गरेर प्रणालीमा फैलिन्छ। आन्दोलन।
प्रभावित मेसिनहरू एक खानी पूल सर्भरमा जडान हुन्छन्, जुन पीडितको जानकारी बिना सम्झौता गरिएका मेसिनहरूमा क्रिप्टोकरेन्सी (मोनेरो) माइन गर्न प्रयोग गर्न सकिन्छ।
