Sliver Malware

అపఖ్యాతి పాలైన క్రిప్టోజాకింగ్ గ్రూప్ TeamTNT తాజా, భారీ-స్థాయి ప్రచారానికి సిద్ధమవుతున్నట్లు కనిపిస్తోంది, క్రిప్టోకరెన్సీని తవ్వడానికి మరియు రాజీపడిన సర్వర్‌లను మూడవ పక్షాలకు అద్దెకు ఇవ్వడానికి క్లౌడ్-స్థానిక వాతావరణాలలోకి చొరబడటంపై దృష్టి సారించింది.

వారి ప్రస్తుత వ్యూహంలో ఇవి ఉంటాయి:

• Sliver మాల్వేర్‌ని అమలు చేయడానికి బహిర్గతమైన డాకర్ డెమన్‌లను ఉపయోగించడం.
• సైబర్ వార్మ్ మరియు క్రిప్టో-మైనర్.
• వారి బెదిరింపు సాఫ్ట్‌వేర్‌ను వ్యాప్తి చేయడానికి రాజీపడిన సర్వర్‌లు మరియు డాకర్ హబ్ రెండింటినీ ఉపయోగించడం.

ఈ కార్యకలాపాలు దాడి పద్ధతుల్లో TeamTNT యొక్క నిరంతర పరిణామాన్ని హైలైట్ చేస్తాయి. డాకర్ ఎన్విరాన్మెంట్‌లను రాజీ చేయడం మరియు వారిని డాకర్ స్వార్మ్‌లో నియమించడం లక్ష్యంగా సంక్లిష్టమైన, బహుళ-దశల దాడులను ప్రారంభించడానికి ఇది స్థిరంగా వర్తిస్తుంది.

వారి దుర్మార్గపు పేలోడ్‌లను హోస్ట్ చేయడానికి మరియు పంపిణీ చేయడానికి డాకర్ హబ్‌ని ఉపయోగించడంతో పాటు, టీమ్‌టిఎన్‌టి తన ఆదాయ మార్గాలను విస్తరిస్తూ అనధికారిక క్రిప్టోకరెన్సీ మైనింగ్ కోసం బాధితుల గణన శక్తిని ఇతర పార్టీలకు అద్దెకు ఇవ్వడం కనిపించింది.

రాజీపడిన డాకర్ ఇన్‌స్టాన్స్‌లను డాకర్ స్వార్మ్‌గా క్లస్టర్ చేయడానికి అసాధారణ ప్రయత్నాలను పరిశోధకులు గుర్తించినప్పుడు ఈ నెల ప్రారంభంలో ఈ ప్రచారానికి సంబంధించిన సంకేతాలు వెలువడ్డాయి. ఈ దాడులను టీమ్‌టిఎన్‌టికి నేరుగా ఆపాదించడానికి ప్రారంభంలో సంకోచించినప్పటికీ, పరిశోధకులు ఇప్పుడు ఈ ఆపరేషన్ ప్రారంభంలో అర్థం చేసుకున్న దానికంటే చాలా విస్తృతమైనదని నమ్ముతున్నారు.

కొత్త TeamTNT దాడులు ఎలా పని చేస్తాయి

క్రిప్టో-మైనర్‌లను మోహరించడానికి మరియు మైనింగ్ రిగ్ రెంటల్స్ ప్లాట్‌ఫారమ్‌లో అద్దెకు రాజీపడిన మౌలిక సదుపాయాలను జాబితా చేయడానికి మాస్‌కాన్ మరియు ZGrab ద్వారా ప్రామాణీకరించబడని, బహిర్గతం చేయబడిన డాకర్ API ముగింపు పాయింట్‌లను గుర్తించడం ఈ దాడులలో ఉంటుంది, ఈ వనరులను నేరుగా నిర్వహించకుండా టీమ్‌టిఎన్‌టిని అనుమతిస్తుంది-వారి వ్యాపార నమూనా యొక్క అధునాతనతను హైలైట్ చేస్తుంది.

ఈ ప్రక్రియ సుమారు 16.7 మిలియన్ IP చిరునామాలలో పోర్ట్‌లు 2375, 2376, 4243 మరియు 4244లో డాకర్ డెమన్‌లను స్కాన్ చేసే దాడి స్క్రిప్ట్‌ను ఉపయోగిస్తుంది, ఆపై పాడైన ఆదేశాలతో పొందుపరిచిన ఆల్పైన్ లైనక్స్ ఇమేజ్‌తో కంటైనర్‌ను అమలు చేస్తుంది.

రాజీపడిన డాకర్ హబ్ ఖాతా ('nmlm99') నుండి తీసుకోబడిన చిత్రం, తదుపరి దోపిడీ పనులను ప్రారంభించడానికి డాకర్ గాట్లింగ్ గన్ ('TDGGinit.sh') అని పిలువబడే ప్రారంభ షెల్ స్క్రిప్ట్‌ను అమలు చేస్తుంది.

పరిశోధకులచే గుర్తించబడిన ఒక ముఖ్య నవీకరణ ఏమిటంటే, టీమ్‌టిఎన్‌టి సునామీ బ్యాక్‌డోర్ నుండి స్లివర్ కమాండ్-అండ్-కంట్రోల్ (సి2) ఫ్రేమ్‌వర్క్‌కి సోకిన సర్వర్‌ల రిమోట్ కంట్రోల్‌కి మారడం, ఇది వ్యూహాలలో పరిణామాన్ని ప్రదర్శిస్తుంది. అదనంగా, సమూహం చిమేరా, TDGG మరియు బయోసెట్ (C2 కార్యకలాపాల కోసం)తో సహా దాని సంతకం నామకరణ సంప్రదాయాలను ఉపయోగించడం కొనసాగిస్తుంది, ఇది ఒక సాధారణ TeamTNT ప్రచారమని నిర్ధారిస్తుంది.

ఈ ప్రచారంలో, TeamTNT వారి వెబ్ సర్వర్‌కు ట్రాఫిక్‌ను దారి మళ్లించడానికి DNS ప్రశ్నలను పరిష్కరించేటప్పుడు అజ్ఞాత మరియు గోప్యతను మెరుగుపరచడానికి రూపొందించిన AnonDNS (అనామక DNS) సేవను కూడా ఉపయోగిస్తోంది.

సైబర్ నేరగాళ్లు క్రిప్టో-మైనర్‌లను వ్యాప్తి చేయడం కొనసాగించారు

ప్రోమెటీ క్రిప్టో-మైనింగ్ బోట్‌నెట్‌ను డెలివరీ చేయడానికి పేరులేని కస్టమర్‌పై లక్ష్యంగా చేసుకున్న బ్రూట్-ఫోర్స్ దాడిని కలిగి ఉన్న కొత్త ప్రచారంపై పరిశోధకులు వెలుగునిచ్చినందున ఈ ఫలితాలు వచ్చాయి.

రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP) మరియు సర్వర్ మెసేజ్ బ్లాక్ (SMB)లోని దుర్బలత్వాలను ఉపయోగించుకోవడం ద్వారా ప్రోమెటీ సిస్టమ్‌లో వ్యాపిస్తుంది, పట్టుదలని సెటప్ చేయడం, భద్రతా సాధనాలను తప్పించుకోవడం మరియు క్రెడెన్షియల్ డంపింగ్ మరియు పార్శ్వం ద్వారా సంస్థ యొక్క నెట్‌వర్క్‌కు లోతైన ప్రాప్యతను పొందడంలో ముప్పు నటుడి ప్రయత్నాలను హైలైట్ చేస్తుంది. ఉద్యమం.

ప్రభావిత మెషీన్‌లు మైనింగ్ పూల్ సర్వర్‌కి కనెక్ట్ అవుతాయి, ఇది బాధితులకు తెలియకుండానే రాజీపడిన మెషీన్‌లలో క్రిప్టోకరెన్సీలను (మోనెరో) గని చేయడానికి ఉపయోగించవచ్చు.