Oprogramowanie złośliwe Sliver

Znana grupa zajmująca się kradzieżą kryptowalut TeamTNT najwyraźniej szykuje nową, zakrojoną na szeroką skalę kampanię, której celem będzie infiltracja środowisk chmurowych w celu wydobywania kryptowaluty i wynajmowania przejętych serwerów stronom trzecim.

Ich obecna strategia obejmuje:

• Wykorzystanie ujawnionych demonów Docker do wdrożenia złośliwego oprogramowania Sliver.
• Robak cybernetyczny i górnik kryptowalut.
• Wykorzystując zarówno zainfekowane serwery, jak i Docker Hub, do rozprzestrzeniania groźnego oprogramowania.

Te działania podkreślają stałą ewolucję metod ataków TeamTNT. Nieustannie dostosowuje się do uruchamiania złożonych, wieloetapowych ataków mających na celu naruszenie środowisk Docker i rekrutację ich do Docker Swarm.

Oprócz wykorzystywania Docker Hub do hostowania i rozpowszechniania złośliwych ładunków, TeamTNT wynajmuje również innym podmiotom moc obliczeniową swoich ofiar w celu nieautoryzowanego wydobywania kryptowaluty, zwiększając w ten sposób swoje źródła dochodu.

Oznaki tej kampanii pojawiły się na początku tego miesiąca, gdy badacze zidentyfikowali nietypowe próby grupowania zainfekowanych instancji Dockera w Docker Swarm. Początkowo wahali się przypisywać te ataki bezpośrednio TeamTNT, ale teraz uważają, że operacja jest znacznie bardziej rozległa, niż początkowo sądzono.

Jak działają nowe ataki TeamTNT

Ataki polegają na wykrywaniu nieuwierzytelnionych, odsłoniętych punktów końcowych interfejsu API Docker za pomocą narzędzi masscan i ZGrab w celu wdrażania kryptokoparek i tworzenia list zainfekowanej infrastruktury do wynajęcia na platformie Mining Rig Rentals. Dzięki temu TeamTNT może uniknąć bezpośredniego zarządzania tymi zasobami, co uwydatnia wyrafinowanie ich nielegalnego modelu biznesowego.

W tym procesie wykorzystywany jest skrypt atakujący, który skanuje demony Dockera na portach 2375, 2376, 4243 i 4244 w obrębie około 16,7 miliona adresów IP, a następnie wdraża kontener z obrazem Alpine Linux osadzonym w uszkodzonych poleceniach.

Obraz pochodzący z zainfekowanego konta Docker Hub („nmlm99”) uruchamia początkowy skrypt powłoki znany jako Docker Gatling Gun („TDGGinit.sh”) w celu uruchomienia dalszych zadań wykorzystujących lukę w zabezpieczeniach.

Kluczową aktualizacją odnotowaną przez badaczy jest przejście TeamTNT z tylnego wejścia Tsunami do struktury Sliver Command-and-Control (C2) do zdalnej kontroli zainfekowanych serwerów, co pokazuje ewolucję taktyk. Ponadto grupa nadal używa swoich charakterystycznych konwencji nazewnictwa, w tym Chimaera, TDGG i bioset (dla operacji C2), co potwierdza, że jest to typowa kampania TeamTNT.

W ramach tej kampanii TeamTNT wykorzystuje również AnonDNS (Anonymous DNS), usługę mającą na celu zwiększenie anonimowości i prywatności podczas rozwiązywania zapytań DNS w celu przekierowywania ruchu do swojego serwera internetowego.

Cyberprzestępcy nadal rozprzestrzeniają krypto-górników

Odkrycia te pojawiają się wraz z tym, jak badacze rzucają światło na nową kampanię, która obejmowała celowy atak siłowy na anonimowego klienta w celu dostarczenia mu botnetu do wydobywania kryptowaluty Prometei .

Prometei rozprzestrzenia się w systemie, wykorzystując luki w zabezpieczeniach protokołu RDP (Remote Desktop Protocol) i bloku komunikatów serwera SMB (Server Message Block), co uwidacznia wysiłki podejmowane przez atakującego w celu zapewnienia trwałości, obejścia narzędzi bezpieczeństwa i uzyskania głębszego dostępu do sieci organizacji za pomocą ujawniania danych uwierzytelniających i ruchu poziomego.

Zainfekowane maszyny łączą się z serwerem puli wydobywczej, który może być użyty do wydobywania kryptowalut (Monero) na zainfekowanych maszynach bez wiedzy ofiary.