Sliver Malware

กลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่ทำการขโมยข้อมูลทางอินเทอร์เน็ตที่มีชื่อเสียงโด่งดัง ดูเหมือนว่าจะกำลังเตรียมพร้อมสำหรับแคมเปญใหม่ในระดับใหญ่ โดยมุ่งเน้นไปที่การแทรกซึมเข้าไปในสภาพแวดล้อมแบบคลาวด์เนทีฟเพื่อขุดสกุลเงินดิจิทัลและให้เช่าเซิร์ฟเวอร์ที่ถูกบุกรุกแก่บุคคลที่สาม

กลยุทธ์ปัจจุบันของพวกเขาเกี่ยวข้องกับ:

• การใช้ประโยชน์จาก Docker daemon ที่เปิดเผยเพื่อติดตั้งมัลแวร์ Sliver
• ไซเบอร์เวิร์มและนักขุดคริปโต
• ใช้ทั้งเซิร์ฟเวอร์ที่ถูกบุกรุกและ Docker Hub เพื่อแพร่กระจายซอฟต์แวร์ที่เป็นภัยคุกคาม

กิจกรรมเหล่านี้เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของ TeamTNT ในวิธีการโจมตี โดยปรับตัวให้เข้ากับการโจมตีแบบหลายขั้นตอนที่ซับซ้อนซึ่งมุ่งเป้าไปที่การโจมตีสภาพแวดล้อมของ Docker และดึงดูดให้เข้าสู่ Docker Swarm

นอกจากการใช้ Docker Hub ในการโฮสต์และแจกจ่ายเพย์โหลดที่เป็นอันตรายแล้ว TeamTNT ยังถูกพบเห็นว่าให้เช่าพลังการประมวลผลของเหยื่อให้กับบุคคลอื่นเพื่อการขุดสกุลเงินดิจิทัลที่ไม่ได้รับอนุญาต ซึ่งเป็นการขยายช่องทางการสร้างรายได้ของบริษัท

สัญญาณของแคมเปญนี้ปรากฏขึ้นเมื่อต้นเดือนนี้เมื่อนักวิจัยพบความพยายามที่แปลกประหลาดในการรวมอินสแตนซ์ Docker ที่ถูกบุกรุกเข้าไว้ใน Docker Swarm แม้ว่าในตอนแรกจะลังเลที่จะระบุการโจมตีเหล่านี้ว่าเป็นฝีมือของ TeamTNT โดยตรง แต่ปัจจุบันนักวิจัยเชื่อว่าการดำเนินการดังกล่าวมีขอบเขตกว้างขวางกว่าที่เข้าใจในตอนแรกมาก

การโจมตี TeamTNT ใหม่ทำงานอย่างไร

การโจมตีนี้เกี่ยวข้องกับการตรวจจับจุดสิ้นสุด Docker API ที่ไม่ผ่านการตรวจสอบและเปิดเผยโดยใช้ masscan และ ZGrab เพื่อติดตั้ง crypto-miner และแสดงรายการโครงสร้างพื้นฐานที่ถูกบุกรุกเพื่อให้เช่าบนแพลตฟอร์ม Mining Rig Rentals ทำให้ TeamTNT สามารถหลีกเลี่ยงการจัดการทรัพยากรเหล่านี้โดยตรง ซึ่งเน้นย้ำถึงความซับซ้อนของรูปแบบธุรกิจที่ผิดกฎหมายของพวกเขา

กระบวนการนี้ใช้สคริปต์โจมตีที่สแกน Docker daemon บนพอร์ต 2375, 2376, 4243 และ 4244 ในที่อยู่ IP ประมาณ 16.7 ล้านที่อยู่ จากนั้นจึงปรับใช้คอนเทนเนอร์ที่มีอิมเมจ Alpine Linux ที่ฝังคำสั่งเสียหาย

รูปภาพซึ่งมีแหล่งที่มาจากบัญชี Docker Hub ที่ถูกบุกรุก ('nmlm99') จะทำการรันสคริปต์เชลล์เบื้องต้นที่เรียกว่า Docker Gatling Gun ('TDGGinit.sh') เพื่อเปิดใช้งานภารกิจการโจมตีเพิ่มเติม

การอัปเดตสำคัญที่นักวิจัยสังเกตเห็นคือการเปลี่ยนแปลงของ TeamTNT จากแบ็คดอร์ Tsunami ไปใช้กรอบงาน Sliver Command-and-Control (C2) สำหรับการควบคุมเซิร์ฟเวอร์ที่ติดเชื้อจากระยะไกล ซึ่งแสดงให้เห็นถึงวิวัฒนาการในกลวิธี นอกจากนี้ กลุ่มดังกล่าวยังคงใช้รูปแบบการตั้งชื่อลายเซ็น เช่น Chimaera, TDGG และ bioset (สำหรับปฏิบัติการ C2) ซึ่งยืนยันว่านี่คือแคมเปญทั่วไปของ TeamTNT

ในแคมเปญนี้ TeamTNT ยังใช้ AnonDNS (Anonymous DNS) ซึ่งเป็นบริการที่ออกแบบมาเพื่อปรับปรุงการไม่เปิดเผยตัวตนและความเป็นส่วนตัวเมื่อทำการแก้ไขคำถาม DNS เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บเซิร์ฟเวอร์

อาชญากรไซเบอร์ยังคงแพร่กระจายเครื่องขุด Crypto

ผลการค้นพบดังกล่าวเกิดขึ้นในขณะที่นักวิจัยกำลังค้นคว้าแคมเปญใหม่ที่เกี่ยวข้องกับการโจมตีแบบบรูทฟอร์ซแบบกำหนดเป้าหมายต่อลูกค้าที่ไม่ได้ระบุชื่อเพื่อส่งบอตเน็ตการขุดคริปโต Prometei

Prometei แพร่กระจายในระบบโดยใช้ประโยชน์จากช่องโหว่ใน Remote Desktop Protocol (RDP) และ Server Message Block (SMB) โดยเน้นย้ำถึงความพยายามของผู้ก่อให้เกิดภัยคุกคามในการตั้งค่าการคงอยู่ หลบเลี่ยงเครื่องมือด้านความปลอดภัย และเข้าถึงเครือข่ายขององค์กรได้ลึกมากขึ้นผ่านการถ่ายโอนข้อมูลประจำตัวและการเคลื่อนไหวตามขวาง

เครื่องที่ได้รับผลกระทบจะเชื่อมต่อกับเซิร์ฟเวอร์กลุ่มการขุด ซึ่งสามารถนำไปใช้ในการขุดสกุลเงินดิจิทัล (Monero) บนเครื่องที่ถูกบุกรุกโดยที่เหยื่อไม่ทราบ