Sliver Malware

Zdá sa, že notoricky známa kryptojackingová skupina TeamTNT sa pripravuje na novú, rozsiahlu kampaň zameranú na infiltráciu cloudových natívnych prostredí s cieľom ťažiť kryptomeny a prenajímať napadnuté servery tretím stranám.

Ich súčasná stratégia zahŕňa:

• Využitie odhalených démonov Docker na nasadenie malvéru Sliver.
• Kybernetický červ a kryptomena.
• Využitie napadnutých serverov a Docker Hub na šírenie ich ohrozujúceho softvéru.

Tieto aktivity zdôrazňujú neustály vývoj TeamTNT v metódach útokov. Dôsledne sa prispôsobuje na spustenie zložitých, viacstupňových útokov zameraných na kompromitáciu prostredí Docker a ich nábor do Docker Swarm.

Okrem používania Docker Hub na hosťovanie a distribúciu svojich škodlivých dát, TeamTNT prenajíma výpočtovú silu obetí iným stranám na neoprávnenú ťažbu kryptomien, čím rozširuje svoje príjmy.

Známky tejto kampane sa objavili začiatkom tohto mesiaca, keď výskumníci identifikovali neortodoxné snahy o zoskupenie kompromitovaných inštancií Docker do Docker Swarm. Zatiaľ čo spočiatku váhali pripísať tieto útoky priamo TeamTNT, výskumníci teraz veria, že operácia je oveľa rozsiahlejšia, než sa pôvodne chápalo.

Ako fungujú nové útoky TeamTNT

Útoky zahŕňajú detekciu neoverených, exponovaných koncových bodov Docker API prostredníctvom masscan a ZGrab na nasadenie krypto-minerov a zoznam ohrozenej infraštruktúry na prenájom na platforme Mining Rig Rentals, čo umožňuje tímu TeamTNT vyhnúť sa priamej správe týchto zdrojov, čo zdôrazňuje sofistikovanosť ich nezákonného obchodného modelu.

Tento proces používa útočný skript, ktorý skenuje démonov Docker na portoch 2375, 2376, 4243 a 4244 na približne 16,7 miliónoch IP adries a potom nasadí kontajner s obrazom Alpine Linux vloženým s poškodenými príkazmi.

Obrázok pochádzajúci z kompromitovaného účtu Docker Hub ('nmlm99') spúšťa počiatočný skript shell známy ako Docker Gatling Gun ('TDGGinit.sh') na spustenie ďalších úloh využívania.

Kľúčovou aktualizáciou, ktorú zaznamenali výskumníci, je posun TeamTNT od zadných vrátok Tsunami k rámcu Sliver Command-and-Control (C2) na diaľkové ovládanie infikovaných serverov, čo demonštruje vývoj v taktike. Okrem toho skupina naďalej používa svoje podpisové konvencie pomenovania vrátane Chimaera, TDGG a bioset (pre operácie C2), čo potvrdzuje, že ide o typickú kampaň TeamTNT.

V tejto kampani TeamTNT využíva aj AnonDNS (Anonymný DNS), službu navrhnutú na zlepšenie anonymity a súkromia pri riešení DNS dotazov na presmerovanie prevádzky na ich webový server.

Kyberzločinci pokračujú v rozširovaní krypto-baníkov

Zistenia prichádzajú, keď výskumníci vrhajú svetlo na novú kampaň, ktorá zahŕňala cielený útok hrubou silou proti nemenovanému zákazníkovi s cieľom dodať botnet na ťažbu kryptomien Prometei .

Prometei sa šíri v systéme využívaním zraniteľností v protokoloch Remote Desktop Protocol (RDP) a Server Message Block (SMB), pričom poukazuje na úsilie aktérov hroziacich pri nastavovaní perzistencie, vyhýbaní sa bezpečnostným nástrojom a získavaní hlbšieho prístupu k sieti organizácie prostredníctvom dumpingu poverení a laterálneho pohyb.

Ovplyvnené stroje sa pripájajú k serveru ťažobného fondu, ktorý možno použiť na ťažbu kryptomien (Monero) na napadnutých strojoch bez vedomia obete.