Sliver Malware

Den ökända kryptojackningsgruppen TeamTNT verkar rusta för en ny, storskalig kampanj fokuserad på att infiltrera molnbaserade miljöer för att bryta kryptovaluta och hyra ut komprometterade servrar till tredje part.

Deras nuvarande strategi innefattar:

• Utnyttja exponerade Docker-demoner för att distribuera Sliver malware.
• En cybermask och kryptogruvarbetare.
• Utnyttja både komprometterade servrar och Docker Hub för att sprida deras hotfulla programvara.

Dessa aktiviteter belyser TeamTNTs ihållande utveckling av attackmetoder. Den anpassar sig konsekvent för att starta komplexa attacker i flera steg som syftar till att äventyra Docker-miljöer och rekrytera dem till en Docker Swarm.

Förutom att använda Docker Hub för att vara värd för och distribuera deras illvilliga nyttolaster, har TeamTNT setts hyra ut offrens beräkningskraft till andra parter för otillåten brytning av kryptovaluta, vilket utökar sina intäktsströmmar.

Tecken på denna kampanj dök upp tidigare den här månaden när forskare identifierade oortodoxa försök att klustera komprometterade Docker-instanser till en Docker-svärm. Även om de från början var tveksamma till att tillskriva dessa attacker direkt till TeamTNT, tror forskare nu att operationen är mycket mer omfattande än vad man först förstod.

Så fungerar de nya TeamTNT-attackerna

Attackerna involverar upptäckt av oautentiserade, exponerade Docker API-slutpunkter genom masscan och ZGrab för att distribuera kryptominers och lista komprometterad infrastruktur för uthyrning på Mining Rig Rentals-plattformen, vilket gör att TeamTNT kan undvika att hantera dessa resurser direkt – vilket framhäver sofistikeringen av deras olagliga affärsmodell.

Denna process använder ett attackskript som skannar Docker-demoner på portarna 2375, 2376, 4243 och 4244 över cirka 16,7 miljoner IP-adresser, och distribuerar sedan en behållare med en Alpine Linux-avbildning inbäddad med korrupta kommandon.

Bilden, hämtad från ett äventyrat Docker Hub-konto ('nmlm99'), kör ett initialt skalskript känt som Docker Gatling Gun ('TDGGinit.sh') för att starta ytterligare exploateringsuppgifter.

En viktig uppdatering som noterats av forskare är TeamTNT:s övergång från Tsunami-bakdörren till Sliver Command-and-Control (C2) ramverk för fjärrkontroll av infekterade servrar, vilket visar en taktikutveckling. Dessutom fortsätter gruppen att använda sina signaturnamnkonventioner, inklusive Chimaera, TDGG och bioset (för C2-operationer), vilket bekräftar att detta är en typisk TeamTNT-kampanj.

I den här kampanjen använder TeamTNT också AnonDNS (Anonym DNS), en tjänst utformad för att förbättra anonymiteten och integriteten när de löser DNS-frågor för att omdirigera trafik till deras webbserver.

Cyberkriminella fortsätter att sprida kryptogruvarbetare

Fynden kommer när forskare kastar ljus över en ny kampanj som involverade en riktad brute-force-attack mot en icke namngiven kund för att leverera Prometei -krypteringsbotnätet.

Prometei sprider sig i systemet genom att utnyttja sårbarheter i Remote Desktop Protocol (RDP) och Server Message Block (SMB), vilket lyfter fram hotaktörens ansträngningar för att sätta upp persistens, undvika säkerhetsverktyg och få djupare tillgång till en organisations nätverk genom dumpning av autentiseringsuppgifter och lateral rörelse.

De drabbade maskinerna ansluter till en gruvpoolserver, som kan användas för att bryta kryptovalutor (Monero) på komprometterade maskiner utan offrets vetskap.