Sliver Malware

O famoso grupo de crypto-jacking TeamTNT parece estar se preparando para uma nova campanha em larga escala focada em infiltrar ambientes nativos da nuvem para minerar cripto-moedas e alugar servidores comprometidos para terceiros.

A estratégia atual envolve:

• Explorando daemons expostos do Docker para implantar o malware Sliver.
• Um worm cibernético e criptominerador.
• Aproveitando servidores comprometidos e o Docker Hub para espalhar seu software ameaçador.

Essas atividades destacam a evolução persistente da TeamTNT em métodos de ataque. Ela se adapta consistentemente para lançar ataques complexos e multiestágios com o objetivo de comprometer ambientes Docker e recrutá-los para um Docker Swarm.

Além de usar o Docker Hub para hospedar e distribuir suas cargas maliciosas, o TeamTNT foi visto alugando o poder computacional das vítimas para outras partes para mineração não autorizada de criptomoedas, expandindo seus fluxos de receita.

Os sinais dessa campanha surgiram no início deste mês, quando pesquisadores identificaram esforços pouco ortodoxos para agrupar instâncias comprometidas do Docker em um Docker Swarm. Embora inicialmente hesitantes em atribuir esses ataques diretamente ao TeamTNT, os pesquisadores agora acreditam que a operação é muito mais extensa do que inicialmente entendido.

Como Funcionam os Novos Ataques do TeamTNT

Os ataques envolvem a detecção de endpoints de API do Docker não autenticados e expostos por meio do masscan e do ZGrab para implantar criptomineradores e listar infraestrutura comprometida para aluguel na plataforma Mining Rig Rentals, permitindo que a TeamTNT evite gerenciar esses recursos diretamente, destacando a sofisticação de seu modelo de negócios ilícito.

Esse processo usa um script de ataque que verifica daemons do Docker nas portas 2375, 2376, 4243 e 4244 em aproximadamente 16,7 milhões de endereços IP e, em seguida, implanta um contêiner com uma imagem do Alpine Linux incorporada com comandos corrompidos.

A imagem, proveniente de uma conta comprometida do Docker Hub ('nmlm99'), executa um script de shell inicial conhecido como Docker Gatling Gun ('TDGGinit.sh') para iniciar outras tarefas de exploração.

Uma atualização importante notada pelos pesquisadores é a mudança do TeamTNT do backdoor Tsunami para a estrutura Sliver Command-and-Control (C2) para controle remoto de servidores infectados, demonstrando uma evolução nas táticas. Além disso, o grupo continua a usar suas convenções de nomenclatura de assinatura, incluindo Chimaera, TDGG e bioset (para operações C2), confirmando que esta é uma campanha típica do TeamTNT.

Nesta campanha, a TeamTNT também está utilizando o AnonDNS (DNS Anônimo), um serviço projetado para aumentar o anonimato e a privacidade ao resolver consultas de DNS para redirecionar o tráfego para seu servidor web.

Os Cibercriminosos continuam a Espalhar Cripto-Mineradores

As descobertas surgem no momento em que pesquisadores esclarecem uma nova campanha que envolveu um ataque de força bruta direcionado contra um cliente não identificado para entregar a botnet de criptomineração Prometei.

O Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) e no Bloco de Mensagens do Servidor (SMB), destacando os esforços do agente da ameaça em configurar persistência, evadir ferramentas de segurança e obter acesso mais profundo à rede de uma organização por meio de despejo de credenciais e movimentação lateral.

As máquinas afetadas se conectam a um servidor de pool de mineração, que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas sem o conhecimento da vítima.