Sliver Malware

Ang kilalang cryptojacking group na TeamTNT ay tila naghahanda para sa isang bago, malakihang kampanya na nakatuon sa paglusot sa mga cloud-native na kapaligiran upang magmina ng cryptocurrency at magrenta ng mga nakompromisong server sa mga third party.

Ang kanilang kasalukuyang diskarte ay kinabibilangan ng:

• Pagsasamantala sa mga nakalantad na Docker daemon para i-deploy ang Sliver malware.
• Isang cyber worm at crypto-miner.
• Gamit ang parehong mga nakompromisong server at Docker Hub upang maikalat ang kanilang nagbabantang software.

Itinatampok ng mga aktibidad na ito ang patuloy na ebolusyon ng TeamTNT sa mga paraan ng pag-atake. Patuloy itong umaangkop upang maglunsad ng kumplikado, maraming yugto ng pag-atake na naglalayong ikompromiso ang mga kapaligiran ng Docker at i-recruit ang mga ito sa isang Docker Swarm.

Bilang karagdagan sa paggamit ng Docker Hub upang i-host at ipamahagi ang kanilang mga masasamang kargamento, nakita ang TeamTNT na nagrenta ng kapangyarihan sa computational ng mga biktima sa ibang mga partido para sa hindi awtorisadong pagmimina ng cryptocurrency, na nagpapalawak ng mga stream ng kita nito.

Lumitaw ang mga palatandaan ng kampanyang ito noong unang bahagi ng buwang ito nang matukoy ng mga mananaliksik ang mga hindi pangkaraniwang pagsisikap na i-cluster ang mga nakompromisong Docker instance sa isang Docker Swarm. Bagama't sa una ay nag-aalangan na direktang iugnay ang mga pag-atake na ito sa TeamTNT, naniniwala na ngayon ang mga mananaliksik na ang operasyon ay higit na malawak kaysa sa naunawaan noong una.

Paano Gumagana ang Bagong Pag-atake ng TeamTNT

Kasama sa mga pag-atake ang pag-detect ng hindi napatotohanan, nakalantad na mga endpoint ng Docker API sa pamamagitan ng masscan at ZGrab upang mag-deploy ng mga crypto-miner at maglista ng mga nakompromisong imprastraktura para sa upa sa platform ng Mining Rig Rentals, na nagpapahintulot sa TeamTNT na maiwasan ang direktang pamamahala sa mga mapagkukunang ito—na itinatampok ang pagiging sopistikado ng kanilang ipinagbabawal na modelo ng negosyo.

Gumagamit ang prosesong ito ng script ng pag-atake na nag-scan ng mga Docker daemon sa mga port 2375, 2376, 4243, at 4244 sa humigit-kumulang 16.7 milyong IP address, pagkatapos ay nagde-deploy ng container na may larawan ng Alpine Linux na naka-embed na may mga sira na command.

Ang larawan, na nagmula sa isang nakompromisong Docker Hub account ('nmlm99'), ay nagpapatupad ng paunang shell script na kilala bilang Docker Gatling Gun ('TDGGinit.sh') upang maglunsad ng higit pang mga gawain sa pagsasamantala.

Ang pangunahing update na binanggit ng mga mananaliksik ay ang paglipat ng TeamTNT mula sa Tsunami backdoor patungo sa Sliver Command-and-Control (C2) na balangkas para sa malayuang kontrol ng mga nahawaang server, na nagpapakita ng ebolusyon sa mga taktika. Bukod pa rito, patuloy na ginagamit ng grupo ang mga signature name convention nito, kabilang ang Chimaera, TDGG, at bioset (para sa mga operasyon ng C2), na nagpapatunay na isa itong tipikal na kampanya ng TeamTNT.

Sa campaign na ito, ginagamit din ng TeamTNT ang AnonDNS (Anonymous DNS), isang serbisyong idinisenyo upang pahusayin ang anonymity at privacy kapag nireresolba ang mga query sa DNS upang i-redirect ang trapiko sa kanilang web server.

Ang mga Cybercriminal ay Patuloy na Kumakalat ng Mga Crypto-Miner

Dumating ang mga natuklasan habang binibigyang-liwanag ng mga mananaliksik ang isang bagong campaign na kinasasangkutan ng naka-target na brute-force na pag-atake laban sa isang hindi pinangalanang customer upang maihatid ang Prometei crypto-mining botnet.

Ang Prometei ay kumakalat sa system sa pamamagitan ng pagsasamantala sa mga kahinaan sa Remote Desktop Protocol (RDP) at Server Message Block (SMB), na nagha-highlight sa mga pagsisikap ng threat actor sa pag-set up ng pagpupursige, pag-iwas sa mga tool sa seguridad, at pagkakaroon ng mas malalim na access sa network ng isang organisasyon sa pamamagitan ng credential dumping at lateral paggalaw.

Ang mga apektadong makina ay kumokonekta sa isang server ng mining pool, na maaaring magamit upang magmina ng mga cryptocurrencies (Monero) sa mga nakompromisong makina nang hindi nalalaman ng biktima.