Sliver Malware

ਬਦਨਾਮ ਕ੍ਰਿਪਟੋਜੈਕਿੰਗ ਸਮੂਹ TeamTNT ਇੱਕ ਤਾਜ਼ਾ, ਵੱਡੇ ਪੈਮਾਨੇ ਦੀ ਮੁਹਿੰਮ ਲਈ ਤਿਆਰ ਹੋ ਰਿਹਾ ਹੈ, ਜੋ ਕਿ ਕਲਾਉਡ-ਨੇਟਿਵ ਵਾਤਾਵਰਨ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਅਤੇ ਤੀਜੀ ਧਿਰ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਨੂੰ ਕਿਰਾਏ 'ਤੇ ਦੇਣ 'ਤੇ ਕੇਂਦਰਿਤ ਹੈ।

ਉਹਨਾਂ ਦੀ ਮੌਜੂਦਾ ਰਣਨੀਤੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਲਾਈਵਰ ਮਾਲਵੇਅਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਐਕਸਪੋਜ਼ਡ ਡੌਕਰ ਡੈਮਨ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ।
• ਇੱਕ ਸਾਈਬਰ ਕੀੜਾ ਅਤੇ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਰ।
• ਉਹਨਾਂ ਦੇ ਧਮਕੀ ਭਰੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਅਤੇ ਡੌਕਰ ਹੱਬ ਦੋਵਾਂ ਦਾ ਲਾਭ ਉਠਾਉਣਾ।

ਇਹ ਗਤੀਵਿਧੀਆਂ ਹਮਲੇ ਦੇ ਤਰੀਕਿਆਂ ਵਿੱਚ TeamTNT ਦੇ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ। ਇਹ ਡੌਕਰ ਵਾਤਾਵਰਨ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਡੌਕਰ ਸਵੈਮ ਵਿੱਚ ਭਰਤੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਗੁੰਝਲਦਾਰ, ਬਹੁ-ਪੜਾਅ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਲਗਾਤਾਰ ਅਨੁਕੂਲ ਹੁੰਦਾ ਹੈ।

ਡੌਕਰ ਹੱਬ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਖਤਰਨਾਕ ਪੇਲੋਡਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਵਰਤਣ ਤੋਂ ਇਲਾਵਾ, TeamTNT ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਲਈ ਪੀੜਤਾਂ ਦੀ ਕੰਪਿਊਟੇਸ਼ਨਲ ਸ਼ਕਤੀ ਨੂੰ ਹੋਰ ਪਾਰਟੀਆਂ ਨੂੰ ਕਿਰਾਏ 'ਤੇ ਦਿੰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ, ਇਸਦੇ ਮਾਲੀਆ ਸਟ੍ਰੀਮ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਦੇ ਸੰਕੇਤ ਇਸ ਮਹੀਨੇ ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਸਾਹਮਣੇ ਆਏ ਜਦੋਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਡੌਕਰ ਉਦਾਹਰਨਾਂ ਨੂੰ ਡੌਕਰ ਸਵੈਮ ਵਿੱਚ ਕਲੱਸਟਰ ਕਰਨ ਲਈ ਗੈਰ-ਰਵਾਇਤੀ ਯਤਨਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਜਦੋਂ ਕਿ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਇਹਨਾਂ ਹਮਲਿਆਂ ਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ TeamTNT ਨੂੰ ਵਿਸ਼ੇਸ਼ਤਾ ਦੇਣ ਤੋਂ ਝਿਜਕਦੇ ਸਨ, ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਓਪਰੇਸ਼ਨ ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ ਸਮਝੇ ਗਏ ਨਾਲੋਂ ਕਿਤੇ ਜ਼ਿਆਦਾ ਵਿਆਪਕ ਹੈ।

ਨਵੀਂ ਟੀਮਟੀਐਨਟੀ ਹਮਲੇ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ

ਹਮਲਿਆਂ ਵਿੱਚ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਰਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਅਤੇ ਮਾਈਨਿੰਗ ਰਿਗ ਰੈਂਟਲ ਪਲੇਟਫਾਰਮ 'ਤੇ ਕਿਰਾਏ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਸੂਚੀ ਬਣਾਉਣ ਲਈ Mascan ਅਤੇ ZGrab ਦੁਆਰਾ ਅਣ-ਪ੍ਰਮਾਣਿਤ, ਐਕਸਪੋਜ਼ਡ ਡੌਕਰ API ਐਂਡਪੁਆਇੰਟਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਸ ਨਾਲ TeamTNT ਨੂੰ ਇਹਨਾਂ ਸਰੋਤਾਂ ਦਾ ਸਿੱਧਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਤੋਂ ਬਚਣ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ - ਉਹਨਾਂ ਦੇ ਨਾਜਾਇਜ਼ ਕਾਰੋਬਾਰੀ ਮਾਡਲ ਦੀ ਸੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਨਾ।

ਇਹ ਪ੍ਰਕਿਰਿਆ ਇੱਕ ਅਟੈਕ ਸਕ੍ਰਿਪਟ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ ਜੋ ਲਗਭਗ 16.7 ਮਿਲੀਅਨ IP ਪਤਿਆਂ ਵਿੱਚ ਪੋਰਟ 2375, 2376, 4243, ਅਤੇ 4244 'ਤੇ ਡੌਕਰ ਡੈਮਨ ਨੂੰ ਸਕੈਨ ਕਰਦੀ ਹੈ, ਫਿਰ ਖਰਾਬ ਕਮਾਂਡਾਂ ਨਾਲ ਏਮਬੇਡ ਕੀਤੇ ਇੱਕ ਐਲਪਾਈਨ ਲੀਨਕਸ ਚਿੱਤਰ ਦੇ ਨਾਲ ਇੱਕ ਕੰਟੇਨਰ ਤੈਨਾਤ ਕਰਦੀ ਹੈ।

ਚਿੱਤਰ, ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਡੌਕਰ ਹੱਬ ਖਾਤੇ ('nmlm99') ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਹੋਰ ਸ਼ੋਸ਼ਣ ਕਾਰਜਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਡੌਕਰ ਗੈਟਲਿੰਗ ਗਨ ('TDGGinit.sh') ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਸ਼ੁਰੂਆਤੀ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਨੋਟ ਕੀਤਾ ਗਿਆ ਇੱਕ ਮੁੱਖ ਅਪਡੇਟ ਟੀਮਟੀਐਨਟੀ ਦਾ ਸੁਨਾਮੀ ਬੈਕਡੋਰ ਤੋਂ ਸੰਕਰਮਿਤ ਸਰਵਰਾਂ ਦੇ ਰਿਮੋਟ ਕੰਟਰੋਲ ਲਈ ਸਲਾਈਵਰ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਫਰੇਮਵਰਕ ਵਿੱਚ ਸ਼ਿਫਟ ਹੈ, ਰਣਨੀਤੀ ਵਿੱਚ ਇੱਕ ਵਿਕਾਸ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਗਰੁੱਪ ਚਿਮੇਰਾ, TDGG, ਅਤੇ ਬਾਇਓਸੈੱਟ (C2 ਓਪਰੇਸ਼ਨਾਂ ਲਈ) ਸਮੇਤ ਆਪਣੇ ਹਸਤਾਖਰ ਨਾਮਕਰਨ ਸੰਮੇਲਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ, ਇਹ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਇਹ ਇੱਕ ਆਮ ਟੀਮਟੀਐਨਟੀ ਮੁਹਿੰਮ ਹੈ।

ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ, TeamTNT AnonDNS (ਅਨਾਮ DNS) ਦੀ ਵਰਤੋਂ ਵੀ ਕਰ ਰਹੀ ਹੈ, ਇੱਕ ਸੇਵਾ ਜੋ ਕਿ ਉਹਨਾਂ ਦੇ ਵੈਬ ਸਰਵਰ ਤੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰਨ ਲਈ DNS ਸਵਾਲਾਂ ਨੂੰ ਹੱਲ ਕਰਨ ਵੇਲੇ ਗੁਮਨਾਮਤਾ ਅਤੇ ਗੋਪਨੀਯਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਰਾਂ ਨੂੰ ਫੈਲਾਉਣਾ ਜਾਰੀ ਰੱਖਦੇ ਹਨ

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਨਵੀਂ ਮੁਹਿੰਮ 'ਤੇ ਰੌਸ਼ਨੀ ਪਾਉਂਦੇ ਹੋਏ ਇਹ ਖੋਜਾਂ ਸਾਹਮਣੇ ਆਈਆਂ ਹਨ ਜਿਸ ਵਿੱਚ ਪ੍ਰੋਮੇਟੀ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਬੋਟਨੈੱਟ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ ਬੇਨਾਮ ਗਾਹਕ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਨਿਸ਼ਾਨਾ ਬਰੂਟ-ਫੋਰਸ ਹਮਲਾ ਸ਼ਾਮਲ ਹੈ।

Prometei ਸਿਸਟਮ ਵਿੱਚ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਅਤੇ ਸਰਵਰ ਮੈਸੇਜ ਬਲਾਕ (SMB) ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ, ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ, ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਤੋਂ ਬਚਣ, ਅਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਡੰਪਿੰਗ ਅਤੇ ਲੇਟਰਲ ਦੁਆਰਾ ਇੱਕ ਸੰਗਠਨ ਦੇ ਨੈਟਵਰਕ ਤੱਕ ਡੂੰਘੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਖਤਰੇ ਦੇ ਅਦਾਕਾਰ ਦੇ ਯਤਨਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਕੇ ਸਿਸਟਮ ਵਿੱਚ ਫੈਲਦਾ ਹੈ। ਅੰਦੋਲਨ

ਪ੍ਰਭਾਵਿਤ ਮਸ਼ੀਨਾਂ ਇੱਕ ਮਾਈਨਿੰਗ ਪੂਲ ਸਰਵਰ ਨਾਲ ਜੁੜਦੀਆਂ ਹਨ, ਜਿਸਦੀ ਵਰਤੋਂ ਪੀੜਤ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਮਸ਼ੀਨਾਂ 'ਤੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ (ਮੋਨੇਰੋ) ਦੀ ਮਾਈਨਿੰਗ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ।