Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware Sliver Malware

Sliver Malware

Nga MezoMalware
Përkthe në:
Shqip

Grupi famëkeq i kriptovakimit TeamTNT duket se po përgatitet për një fushatë të re, në shkallë të gjerë, e fokusuar në infiltrimin e mjediseve vendase të cloud për të minuar kriptovalutat dhe për t'u dhënë me qira palëve të treta serverë të komprometuar.

Strategjia e tyre aktuale përfshin:

  • Duke shfrytëzuar demonët e ekspozuar të Docker për të vendosur malware Sliver.
  • Një krimb kibernetik dhe kripto-minator.
  • Përdorimi i serverëve të komprometuar dhe Docker Hub për të përhapur softuerin e tyre kërcënues.

Këto aktivitete nxjerrin në pah evolucionin e vazhdueshëm të TeamTNT në metodat e sulmit. Ai përshtatet vazhdimisht për të nisur sulme komplekse me shumë faza, që synojnë kompromentimin e mjediseve Docker dhe rekrutimin e tyre në një Swarm Docker.

Përveç përdorimit të Docker Hub për të pritur dhe shpërndarë ngarkesat e tyre keqdashëse, TeamTNT është parë duke u dhënë me qira fuqinë llogaritëse të viktimave palëve të tjera për miniera të paautorizuara të kriptomonedhave, duke zgjeruar rrjedhat e tij të të ardhurave.

Shenjat e kësaj fushate u shfaqën në fillim të këtij muaji kur studiuesit identifikuan përpjekje joortodokse për të grumbulluar rastet e komprometuara të Docker në një Swarm Docker. Ndërsa fillimisht hezitonin t'i atribuonin këto sulme drejtpërdrejt TeamTNT, studiuesit tani besojnë se operacioni është shumë më i gjerë se sa kuptohej fillimisht.

Si funksionojnë sulmet e reja të TeamTNT

Sulmet përfshijnë zbulimin e pikave fundore të paautentikuara, të ekspozuara të Docker API përmes masscan dhe ZGrab për të vendosur kripto-minatorë dhe për të renditur infrastrukturën e komprometuar me qira në platformën Mining Rig Rentals, duke lejuar TeamTNT të shmangë menaxhimin e këtyre burimeve drejtpërdrejt - duke theksuar sofistikimin e modelit të tyre të paligjshëm të biznesit.

Ky proces përdor një skript sulmi që skanon demonët Docker në portat 2375, 2376, 4243 dhe 4244 në afërsisht 16.7 milion adresa IP, më pas vendos një kontejner me një imazh Alpine Linux të ngulitur me komanda të dëmtuara.

Imazhi, me burim nga një llogari e komprometuar e Docker Hub ('nmlm99'), ekzekuton një skript fillestar të predhës të njohur si Docker Gatling Gun ('TDGGinit.sh') për të nisur detyra të mëtejshme shfrytëzimi.

Një përditësim kyç i vërejtur nga studiuesit është zhvendosja e TeamTNT nga porta e pasme e Tsunamit në kornizën Sliver Command-and-Control (C2) për kontrollin në distancë të serverëve të infektuar, duke demonstruar një evolucion në taktika. Për më tepër, grupi vazhdon të përdorë konventat e tij të emërtimit, duke përfshirë Chimaera, TDGG dhe bioset (për operacionet C2), duke konfirmuar se kjo është një fushatë tipike TeamTNT.

Në këtë fushatë, TeamTNT po përdor gjithashtu AnonDNS (DNS Anonim), një shërbim i krijuar për të përmirësuar anonimitetin dhe privatësinë kur zgjidhin pyetjet DNS për të ridrejtuar trafikun në serverin e tyre të internetit.

Kriminelët kibernetikë vazhdojnë të përhapin kripto-minatorët

Gjetjet vijnë pasi studiuesit hodhën dritë mbi një fushatë të re që përfshinte një sulm të synuar me forcë brutale kundër një klienti të paidentifikuar për të ofruar botnet-in e kripto-minierave Prometei .

Prometei përhapet në sistem duke shfrytëzuar dobësitë në Protokollin e Desktopit të Largët (RDP) dhe Bllokun e Mesazheve të Serverit (SMB), duke nënvizuar përpjekjet e aktorit të kërcënimit për vendosjen e qëndrueshmërisë, shmangien e mjeteve të sigurisë dhe marrjen e aksesit më të thellë në rrjetin e një organizate përmes hedhjes së kredencialeve dhe anash lëvizjes.

Makineritë e prekura lidhen me një server të pishinës së minierave, i cili mund të përdoret për të minuar kriptomonedha (Monero) në makinat e komprometuara pa dijeninë e viktimës.

Në trend

Më e shikuara

Po ngarkohet...