Сливер Малваре

Чини се да се озлоглашена група за криптовалуте ТеамТНТ спрема за нову кампању великих размера фокусирану на инфилтрирање у окружења која су изворна у облаку ради рударења криптовалуте и изнајмљивања угрожених сервера трећим странама.

Њихова тренутна стратегија укључује:

• Искоришћавање откривених Доцкер демона за примену Сливер малвера.
• Сајбер црв и крипто-рудар.
• Користећи компромитоване сервере и Доцкер Хуб за ширење њиховог претећег софтвера.

Ове активности наглашавају упорну еволуцију ТеамТНТ-ових метода напада. Конзистентно се прилагођава покретању сложених, вишестепених напада који имају за циљ да угрозе Доцкер окружења и да их регрутују у Доцкер Сварм.

Поред коришћења Доцкер Хуб-а за хостовање и дистрибуцију својих злонамерних корисних података, ТеамТНТ је виђен како изнајмљује рачунарску моћ жртава другим странама за неовлашћено рударење криптовалута, проширујући своје приходе.

Знаци ове кампање појавили су се раније овог месеца када су истраживачи идентификовали неортодоксне напоре да се компромитоване Доцкер инстанце групишу у Доцкер Сварм. Иако су у почетку оклевали да ове нападе припишу директно ТеамТНТ-у, истраживачи сада верују да је операција далеко опсежнија него што се првобитно мислило.

Како функционишу нови тимски ТНТ напади

Напади укључују откривање неауторизованих, изложених крајњих тачака Доцкер АПИ-ја путем массцан-а и ЗГраб-а да би се применили крипто-рудари и излиста компромитована инфраструктура за изнајмљивање на платформи Мининг Риг Ренталс, омогућавајући ТеамТНТ-у да избегне директно управљање овим ресурсима – истичући софистицираност њиховог недозвољеног пословног модела.

Овај процес користи скрипту за напад која скенира Доцкер демоне на портовима 2375, 2376, 4243 и 4244 на приближно 16,7 милиона ИП адреса, а затим поставља контејнер са Алпине Линук сликом уграђеном са оштећеним командама.

Слика, добијена са компромитованог Доцкер Хуб налога ('нмлм99'), извршава почетну схелл скрипту познату као Доцкер Гатлинг Гун ('ТДГГинит.сх') за покретање даљих задатака експлоатације.

Кључно ажурирање које су приметили истраживачи је прелазак ТеамТНТ-а са бацкдоор-а Тсунамија на оквир за команду и контролу (Ц2) за даљинску контролу заражених сервера, демонстрирајући еволуцију тактике. Поред тога, група наставља да користи своје конвенције о именовању потписа, укључујући Цхимаера, ТДГГ и биосет (за Ц2 операције), потврђујући да је ово типична ТеамТНТ кампања.

У овој кампањи, ТеамТНТ такође користи АнонДНС (Анонимни ДНС), услугу дизајнирану да побољша анонимност и приватност приликом решавања ДНС упита за преусмеравање саобраћаја на њихов веб сервер.

Сајбер криминалци настављају да шире крипто-рударе

Налази долазе када су истраживачи расветлили нову кампању која је укључивала циљани напад грубом силом против неименованог купца да би се испоручио Прометеи ботнет за крипто рударење.

Прометеи се шири у систему искоришћавањем рањивости у протоколу за удаљену радну површину (РДП) и блоку порука на серверу (СМБ), наглашавајући напоре актера претње на успостављању постојаности, избегавању безбедносних алата и добијању дубљег приступа мрежи организације кроз одлагање акредитива и бочно кретање.

Погођене машине се повезују са сервером рударског базена, који се може користити за рударење криптовалута (Монеро) на компромитованим машинама без знања жртве.