Sliver Malware

Renumitul grup de criptojacking TeamTNT pare să se pregătească pentru o campanie proaspătă, la scară largă, concentrată pe infiltrarea în medii native din cloud pentru a extrage criptomonede și a închiria servere compromise unor terțe părți.

Strategia lor actuală presupune:

• Exploatarea demonilor Docker expuși pentru a implementa programul malware Sliver.
• Un vierme cibernetic și cripto-miner.
• Folosind atât serverele compromise, cât și Docker Hub pentru a-și răspândi software-ul amenințător.

Aceste activități evidențiază evoluția persistentă a TeamTNT în metodele de atac. Se adaptează constant pentru a lansa atacuri complexe, în mai multe etape, menite să compromită mediile Docker și să le recruteze într-un Docker Swarm.

Pe lângă utilizarea Docker Hub pentru a găzdui și a distribui încărcăturile lor utile răuvoitoare, TeamTNT a fost văzut închiriind puterea de calcul a victimelor altor părți pentru minerit neautorizat de criptomonede, extinzându-și fluxurile de venituri.

Semnele acestei campanii au apărut la începutul acestei luni, când cercetătorii au identificat eforturi neortodoxe de a grupa instanțe Docker compromise într-un roi Docker. Deși inițial ezită să atribuie aceste atacuri direct TeamTNT, cercetătorii cred acum că operațiunea este mult mai extinsă decât se înțelegea inițial.

Cum funcționează noile atacuri TeamTNT

Atacurile implică detectarea punctelor finale Docker API neautentificate și expuse prin masscan și ZGrab pentru a implementa cripto-mineri și pentru a lista infrastructura compromisă pentru închiriere pe platforma Mining Rig Rentals, permițând TeamTNT să evite gestionarea directă a acestor resurse, evidențiind sofisticarea modelului lor de afaceri ilicit.

Acest proces folosește un script de atac care scanează demonii Docker pe porturile 2375, 2376, 4243 și 4244 pe aproximativ 16,7 milioane de adrese IP, apoi implementează un container cu o imagine Alpine Linux încorporată cu comenzi corupte.

Imaginea, provenită dintr-un cont Docker Hub compromis („nmlm99”), execută un script shell inițial cunoscut sub numele de Docker Gatling Gun („TDGGinit.sh”) pentru a lansa sarcini de exploatare ulterioare.

O actualizare cheie observată de cercetători este trecerea TeamTNT de la ușa din spate Tsunami la cadrul Sliver Command-and-Control (C2) pentru controlul de la distanță al serverelor infectate, demonstrând o evoluție a tacticii. În plus, grupul continuă să folosească convențiile sale de denumire a semnăturilor, inclusiv Chimaera, TDGG și bioset (pentru operațiunile C2), confirmând că aceasta este o campanie tipică TeamTNT.

În această campanie, TeamTNT utilizează, de asemenea, AnonDNS (DNS anonim), un serviciu conceput pentru a spori anonimatul și confidențialitatea atunci când rezolvă interogările DNS pentru a redirecționa traficul către serverul lor web.

Infractorii cibernetici continuă să răspândească cripto-mineri

Descoperirile vin în timp ce cercetătorii fac lumină asupra unei noi campanii care a implicat un atac țintit în forță brută împotriva unui client nenumit pentru a livra rețeaua botnet de cripto-mining Prometei .

Prometei se răspândește în sistem prin exploatarea vulnerabilităților din Remote Desktop Protocol (RDP) și Server Message Block (SMB), evidențiind eforturile actorului amenințării de a configura persistența, eludarea instrumentelor de securitate și obținerea unui acces mai profund la rețeaua unei organizații prin descărcarea acreditărilor și laterale. circulaţie.

Mașinile afectate se conectează la un server de minerit, care poate fi folosit pentru a extrage criptomonede (Monero) pe mașini compromise fără știrea victimei.