Zlonamerna programska oprema Sliver

Zdi se, da se razvpita skupina za kriptovalute TeamTNT pripravlja na novo, obsežno kampanjo, osredotočeno na infiltracijo v oblačna okolja za rudarjenje kriptovalute in najem ogroženih strežnikov tretjim osebam.

Njihova trenutna strategija vključuje:

• Izkoriščanje izpostavljenih demonov Docker za uvajanje zlonamerne programske opreme Sliver.
• Kibernetski črv in kripto rudar.
• Izkoriščanje tako ogroženih strežnikov kot Docker Huba za širjenje njihove grozljive programske opreme.

Te dejavnosti poudarjajo vztrajno evolucijo TeamTNT v metodah napada. Dosledno se prilagaja za zagon kompleksnih, večstopenjskih napadov, katerih cilj je ogrožanje okolij Docker in njihovo rekrutiranje v Docker Swarm.

Poleg uporabe Docker Huba za gostovanje in distribucijo njihovega zlonamernega koristnega tovora je bilo opaženo, da TeamTNT oddaja računalniško moč žrtev drugim strankam za nepooblaščeno rudarjenje kriptovalut, s čimer širi svoje tokove prihodkov.

Znaki te kampanje so se pojavili v začetku tega meseca, ko so raziskovalci odkrili neortodoksna prizadevanja za združevanje ogroženih primerkov Dockerja v Docker Swarm. Čeprav so sprva oklevali, da bi te napade pripisali neposredno TeamTNT, raziskovalci zdaj verjamejo, da je operacija veliko obsežnejša, kot je bilo sprva razumljeno.

Kako delujejo novi napadi TeamTNT

Napadi vključujejo odkrivanje nepreverjenih, izpostavljenih končnih točk Docker API prek masscan in ZGrab za uvajanje kripto-rudarjev in seznam ogrožene infrastrukture za najem na platformi Mining Rig Rentals, kar TeamTNT-ju omogoča, da se izogne neposrednemu upravljanju teh virov – kar poudarja prefinjenost njihovega nezakonitega poslovnega modela.

Ta postopek uporablja napadalni skript, ki skenira demone Docker na vratih 2375, 2376, 4243 in 4244 prek približno 16,7 milijona naslovov IP, nato pa razmesti vsebnik s sliko Alpine Linux, vdelano s poškodovanimi ukazi.

Slika, pridobljena iz ogroženega računa Docker Hub ('nmlm99'), izvede začetni lupinski skript, znan kot Docker Gatling Gun ('TDGGinit.sh'), za zagon nadaljnjih nalog izkoriščanja.

Ključna posodobitev, ki so jo opazili raziskovalci, je premik TeamTNT-a z zakulisnih vrat Tsunami na okvir Sliver Command-and-Control (C2) za daljinsko upravljanje okuženih strežnikov, kar kaže na razvoj taktike. Poleg tega skupina še naprej uporablja svoje značilne konvencije poimenovanja, vključno s Chimaera, TDGG in bioset (za operacije C2), kar potrjuje, da je to tipična kampanja TeamTNT.

V tej kampanji TeamTNT uporablja tudi AnonDNS (Anonimni DNS), storitev, zasnovano za izboljšanje anonimnosti in zasebnosti pri reševanju poizvedb DNS za preusmeritev prometa na njihov spletni strežnik.

Kibernetski kriminalci še naprej širijo kripto rudarje

Ugotovitve so prišle, ko so raziskovalci osvetlili novo kampanjo, ki je vključevala ciljni napad s surovo silo na neimenovano stranko, da bi zagotovili botnet za kripto rudarjenje Prometei .

Prometei se v sistemu širi z izkoriščanjem ranljivosti v protokolu za oddaljeno namizje (RDP) in bloku sporočil strežnika (SMB), pri čemer poudarja prizadevanja akterja grožnje pri nastavitvi obstojnosti, izogibanju varnostnim orodjem in pridobivanju globljega dostopa do omrežja organizacije prek odlaganja poverilnic in stranskih gibanje.

Prizadeti stroji se povežejo s strežnikom rudarskega bazena, ki se lahko uporablja za rudarjenje kriptovalut (Monero) na ogroženih strojih brez vednosti žrtve.