Sliver-malware

De beruchte cryptojackinggroep TeamTNT lijkt zich klaar te maken voor een nieuwe, grootschalige campagne die zich richt op het infiltreren van cloud-native omgevingen om cryptocurrency te minen en gecompromitteerde servers te verhuren aan derden.

Hun huidige strategie omvat:

• Het misbruiken van blootgestelde Docker-daemons om de Sliver-malware te verspreiden.
• Een cyberworm en crypto-miner.
• Ze maken gebruik van zowel gecompromitteerde servers als Docker Hub om hun gevaarlijke software te verspreiden.

Deze activiteiten benadrukken de aanhoudende evolutie van TeamTNT in aanvalsmethoden. Het past zich consequent aan om complexe, meertrapsaanvallen te lanceren die gericht zijn op het compromitteren van Docker-omgevingen en het rekruteren van hen in een Docker Swarm.

TeamTNT gebruikt Docker Hub niet alleen om hun kwaadaardige payloads te hosten en te verspreiden, maar verhuurt ook de rekenkracht van hun slachtoffers aan andere partijen voor ongeautoriseerde cryptocurrency-mining. Zo breiden ze hun inkomstenstromen uit.

Tekenen van deze campagne kwamen eerder deze maand aan het licht toen onderzoekers onorthodoxe pogingen ontdekten om gecompromitteerde Docker-instanties te clusteren in een Docker Swarm. Hoewel ze aanvankelijk aarzelden om deze aanvallen rechtstreeks aan TeamTNT toe te schrijven, geloven onderzoekers nu dat de operatie veel omvangrijker is dan aanvankelijk werd gedacht.

Hoe de nieuwe TeamTNT-aanvallen werken

De aanvallen zijn gericht op het detecteren van niet-geverifieerde, blootgestelde Docker API-eindpunten via masscan en ZGrab om cryptominers te implementeren en een lijst te maken van gecompromitteerde infrastructuur die te huur is op het Mining Rig Rentals-platform. Hierdoor hoeft TeamTNT deze bronnen niet rechtstreeks te beheren, wat de verfijning van hun illegale bedrijfsmodel onderstreept.

Bij dit proces wordt gebruikgemaakt van een aanvalsscript dat Docker-daemons op poorten 2375, 2376, 4243 en 4244 scant op ongeveer 16,7 miljoen IP-adressen. Vervolgens wordt een container geïmplementeerd met een Alpine Linux-image waarin beschadigde opdrachten zijn opgenomen.

De image, afkomstig van een gecompromitteerd Docker Hub-account ('nmlm99'), voert een eerste shellscript uit dat bekendstaat als de Docker Gatling Gun ('TDGGinit.sh') om verdere exploitatietaken te starten.

Een belangrijke update die onderzoekers opmerkten, is de verschuiving van TeamTNT van de Tsunami-backdoor naar het Sliver Command-and-Control (C2)-framework voor externe controle van geïnfecteerde servers, wat een evolutie in tactieken aantoont. Daarnaast blijft de groep zijn kenmerkende naamgevingsconventies gebruiken, waaronder Chimaera, TDGG en bioset (voor C2-operaties), wat bevestigt dat dit een typische TeamTNT-campagne is.

In deze campagne maakt TeamTNT ook gebruik van AnonDNS (Anonymous DNS), een service die is ontworpen om de anonimiteit en privacy te verbeteren bij het oplossen van DNS-query's om verkeer om te leiden naar hun webserver.

Cybercriminelen blijven crypto-miners verspreiden

Deze bevindingen komen nadat onderzoekers licht werpen op een nieuwe campagne waarbij een gerichte brute-force-aanval werd uitgevoerd op een anonieme klant om het Prometei -cryptominingbotnet te leveren.

Prometei verspreidt zich in het systeem door misbruik te maken van kwetsbaarheden in Remote Desktop Protocol (RDP) en Server Message Block (SMB). Hierbij wordt de nadruk gelegd op de inspanningen van de kwaadwillende partij om persistentie in te stellen, beveiligingstools te omzeilen en diepere toegang te krijgen tot het netwerk van een organisatie via het dumpen van inloggegevens en laterale verplaatsing.

De getroffen machines maken verbinding met een mining pool-server, die gebruikt kan worden om cryptovaluta (Monero) te minen op gecompromitteerde machines, zonder dat het slachtoffer dit weet.