Sliver Malware

பிரபல கிரிப்டோஜாக்கிங் குழுவான TeamTNT ஆனது, கிளவுட்-சொந்த சூழலில் ஊடுருவி கிரிப்டோகரன்சியைச் சுரங்கப்படுத்துவதற்கும் சமரசம் செய்யப்பட்ட சர்வர்களை மூன்றாம் தரப்பினருக்கு வாடகைக்கு எடுப்பதற்கும் கவனம் செலுத்தும் புதிய, பெரிய அளவிலான பிரச்சாரத்திற்குத் தயாராகி வருவதாகத் தெரிகிறது.

அவர்களின் தற்போதைய மூலோபாயம் பின்வருவனவற்றை உள்ளடக்கியது:

• ஸ்லிவர் தீம்பொருளைப் பயன்படுத்த, வெளிப்பட்ட டாக்கர் டெமான்களைப் பயன்படுத்துதல்.
• ஒரு சைபர் புழு மற்றும் கிரிப்டோ-மைனர்.
• சமரசம் செய்யப்பட்ட சேவையகங்கள் மற்றும் டோக்கர் ஹப் இரண்டையும் பயன்படுத்தி அச்சுறுத்தும் மென்பொருளைப் பரப்புதல்.

தாக்குதல் முறைகளில் TeamTNT இன் தொடர்ச்சியான பரிணாம வளர்ச்சியை இந்த நடவடிக்கைகள் எடுத்துக்காட்டுகின்றன. டோக்கர் சூழல்களை சமரசம் செய்து அவர்களை டோக்கர் ஸ்வார்மில் சேர்ப்பதை நோக்கமாகக் கொண்ட சிக்கலான, பல-நிலை தாக்குதல்களைத் தொடங்குவதற்கு இது தொடர்ந்து மாற்றியமைக்கிறது.

Docker Hub ஐப் பயன்படுத்தி அவர்களின் தீங்கான பேலோடுகளை ஹோஸ்ட் செய்து விநியோகிக்கவும், TeamTNT ஆனது பாதிக்கப்பட்டவர்களின் கணக்கீட்டு அதிகாரத்தை அங்கீகரிக்கப்படாத கிரிப்டோகரன்சி சுரங்கத்திற்காக மற்ற தரப்பினருக்கு வாடகைக்கு விடுவதையும், அதன் வருமானத்தை விரிவுபடுத்துவதையும் பார்க்கிறது.

இந்த மாத தொடக்கத்தில், சமரசம் செய்யப்பட்ட டோக்கர் நிகழ்வுகளை டோக்கர் திரளாக மாற்றுவதற்கான வழக்கத்திற்கு மாறான முயற்சிகளை ஆராய்ச்சியாளர்கள் கண்டறிந்தபோது இந்த பிரச்சாரத்தின் அறிகுறிகள் வெளிப்பட்டன. இந்த தாக்குதல்களை TeamTNT க்கு நேரடியாகக் கூறுவதற்கு ஆரம்பத்தில் தயக்கம் காட்டினாலும், ஆரம்பத்தில் புரிந்து கொள்ளப்பட்டதை விட இந்த செயல்பாடு மிகவும் விரிவானது என்று ஆராய்ச்சியாளர்கள் இப்போது நம்புகின்றனர்.

புதிய TeamTNT தாக்குதல்கள் எவ்வாறு செயல்படுகின்றன

இந்த தாக்குதல்களில், க்ரிப்டோ-மைனர்களை வரிசைப்படுத்த, மைனிங் ரிக் ரெண்டல்ஸ் தளத்தில் வாடகைக்கு சமரசம் செய்யப்பட்ட உள்கட்டமைப்பை பட்டியலிட, masscan மற்றும் ZGrab மூலம் அங்கீகரிக்கப்படாத, வெளிப்படும் Docker API எண்ட்பாயிண்ட்களைக் கண்டறிதல் ஆகியவை அடங்கும்.

சுமார் 16.7 மில்லியன் ஐபி முகவரிகளில் 2375, 2376, 4243 மற்றும் 4244 ஆகிய போர்ட்களில் உள்ள டோக்கர் டெமான்களை ஸ்கேன் செய்யும் தாக்குதல் ஸ்கிரிப்டை இந்த செயல்முறை பயன்படுத்துகிறது, பின்னர் சிதைந்த கட்டளைகளுடன் உட்பொதிக்கப்பட்ட ஆல்பைன் லினக்ஸ் படத்துடன் ஒரு கொள்கலனைப் பயன்படுத்துகிறது.

சமரசம் செய்யப்பட்ட டோக்கர் ஹப் கணக்கிலிருந்து ('nmlm99') எடுக்கப்பட்ட படம், மேலும் சுரண்டல் பணிகளைத் தொடங்க டோக்கர் கேட்லிங் கன் ('TDGGinit.sh') எனப்படும் ஆரம்ப ஷெல் ஸ்கிரிப்டை செயல்படுத்துகிறது.

ஆராய்ச்சியாளர்களால் குறிப்பிடப்பட்ட ஒரு முக்கிய புதுப்பிப்பு என்னவென்றால், பாதிக்கப்பட்ட சேவையகங்களின் ரிமோட் கண்ட்ரோலுக்கான ஸ்லிவர் கட்டளை மற்றும் கட்டுப்பாடு (C2) கட்டமைப்பிற்கு சுனாமி பின்கதவிலிருந்து TeamTNT இன் மாற்றமாகும், இது தந்திரோபாயங்களில் ஒரு பரிணாமத்தை நிரூபிக்கிறது. கூடுதலாக, குழுவானது சிமேரா, TDGG மற்றும் பயோசெட் (C2 செயல்பாடுகளுக்கு) உள்ளிட்ட அதன் கையொப்ப பெயரிடும் மரபுகளைத் தொடர்ந்து பயன்படுத்துகிறது, இது ஒரு பொதுவான TeamTNT பிரச்சாரம் என்பதை உறுதிப்படுத்துகிறது.

இந்த பிரச்சாரத்தில், TeamTNT ஆனது AnonDNS (அநாமதேய DNS) சேவையையும் பயன்படுத்துகிறது, இது DNS வினவல்களைத் தீர்க்கும் போது அவர்களின் இணைய சேவையகத்திற்கு ட்ராஃபிக்கைத் திருப்பிவிட, பெயர் தெரியாத மற்றும் தனியுரிமையை மேம்படுத்த வடிவமைக்கப்பட்ட ஒரு சேவையாகும்.

சைபர் கிரைமினல்கள் கிரிப்டோ-மைனர்களைப் பரப்புவதைத் தொடர்கின்றனர்

Prometei கிரிப்டோ-மைனிங் போட்நெட்டை வழங்குவதற்காக பெயரிடப்படாத வாடிக்கையாளருக்கு எதிராக இலக்கு வைக்கப்பட்ட முரட்டுத்தனமான தாக்குதலை உள்ளடக்கிய புதிய பிரச்சாரத்தை ஆராய்ச்சியாளர்கள் வெளிச்சம் போட்டுக் காட்டுவதால் இந்த கண்டுபிடிப்புகள் வந்துள்ளன.

ரிமோட் டெஸ்க்டாப் புரோட்டோகால் (ஆர்டிபி) மற்றும் சர்வர் மெசேஜ் பிளாக் (எஸ்எம்பி) ஆகியவற்றில் உள்ள பாதிப்புகளைப் பயன்படுத்தி, ப்ரோமெடீ கணினியில் பரவுகிறது, இது அச்சுறுத்தல் நடிகரின் முயற்சிகளை நிலைநிறுத்துதல், பாதுகாப்புக் கருவிகளைத் தவிர்ப்பது மற்றும் நற்சான்றிதழ் டம்பிங் மற்றும் பக்கவாட்டு மூலம் ஒரு நிறுவனத்தின் நெட்வொர்க்கிற்கு ஆழமான அணுகலைப் பெறுகிறது. இயக்கம்.

பாதிக்கப்பட்ட இயந்திரங்கள் மைனிங் பூல் சேவையகத்துடன் இணைக்கப்படுகின்றன, இது பாதிக்கப்பட்டவருக்குத் தெரியாமல் சமரசம் செய்யப்பட்ட இயந்திரங்களில் கிரிப்டோகரன்ஸிகளை (மோனெரோ) சுரங்கப்படுத்த பயன்படுகிறது.