Вредоносное ПО Sliver

Известная группа криптоджекеров TeamTNT, похоже, готовится к новой крупномасштабной кампании, направленной на проникновение в облачные среды для майнинга криптовалюты и сдачи в аренду взломанных серверов третьим лицам.

Их текущая стратегия включает:

• Использование уязвимых демонов Docker для развертывания вредоносного ПО Sliver.
• Киберчервь и криптомайнер.
• Использование как взломанных серверов, так и Docker Hub для распространения своего опасного программного обеспечения.

Эти действия подчеркивают постоянную эволюцию методов атак TeamTNT. Он последовательно адаптируется для запуска сложных многоэтапных атак, направленных на компрометацию сред Docker и вовлечение их в Docker Swarm.

Помимо использования Docker Hub для размещения и распространения вредоносных программ, TeamTNT была замечена в сдаче в аренду вычислительных мощностей жертв другим сторонам для несанкционированного майнинга криптовалюты, что расширяет источники дохода.

Признаки этой кампании появились в начале этого месяца, когда исследователи выявили нетрадиционные попытки объединить скомпрометированные экземпляры Docker в Docker Swarm. Хотя изначально исследователи не решались напрямую приписывать эти атаки TeamTNT, теперь они полагают, что операция гораздо более масштабна, чем изначально предполагалось.

Как работают новые атаки TeamTNT

Атаки включают обнаружение неаутентифицированных, уязвимых конечных точек API Docker с помощью masscan и ZGrab для развертывания криптомайнеров и выставления скомпрометированной инфраструктуры на аренду на платформе Mining Rig Rentals, что позволяет TeamTNT избегать прямого управления этими ресурсами, что подчеркивает сложность их незаконной бизнес-модели.

Этот процесс использует скрипт атаки, который сканирует демоны Docker на портах 2375, 2376, 4243 и 4244 примерно по 16,7 миллионам IP-адресов, а затем развертывает контейнер с образом Alpine Linux, в который встроены поврежденные команды.

Образ, полученный из взломанной учетной записи Docker Hub («nmlm99»), запускает начальный скрипт оболочки, известный как Docker Gatling Gun («TDGGinit.sh»), для запуска дальнейших задач по эксплуатации.

Ключевым обновлением, отмеченным исследователями, является переход TeamTNT с бэкдора Tsunami на фреймворк Sliver Command-and-Control (C2) для удаленного управления зараженными серверами, что демонстрирует эволюцию тактики. Кроме того, группа продолжает использовать свои соглашения об именах сигнатур, включая Chimaera, TDGG и bioset (для операций C2), подтверждая, что это типичная кампания TeamTNT.

В этой кампании TeamTNT также использует AnonDNS (анонимный DNS) — сервис, предназначенный для повышения анонимности и конфиденциальности при разрешении DNS-запросов для перенаправления трафика на свой веб-сервер.

Киберпреступники продолжают распространять криптомайнеры

Результаты исследования появились после того, как исследователи пролили свет на новую кампанию, которая включала целенаправленную атаку методом подбора паролей против неназванного клиента с целью создания ботнета для майнинга криптовалют Prometei .

Prometei распространяется в системе, используя уязвимости в протоколе удаленного рабочего стола (RDP) и блоке сообщений сервера (SMB), что подчеркивает усилия злоумышленников по обеспечению устойчивости, обходу средств безопасности и получению более глубокого доступа к сети организации посредством сброса учетных данных и горизонтального перемещения.

Зараженные машины подключаются к серверу майнингового пула, который можно использовать для майнинга криптовалют (Monero) на взломанных машинах без ведома жертвы.