Sliver Malware

Ünlü kripto para madenciliği grubu TeamTNT, bulut tabanlı ortamlara sızarak kripto para madenciliği yapmayı ve ele geçirilen sunucuları üçüncü taraflara kiralamayı hedefleyen yeni ve büyük ölçekli bir kampanyaya hazırlanıyor gibi görünüyor.

Şu anki stratejileri şu şekilde:

• Sliver kötü amaçlı yazılımını dağıtmak için açığa çıkan Docker daemon'larını kullanma.
• Bir siber solucan ve kripto madencisi.
• Tehdit oluşturan yazılımlarını yaymak için hem tehlikeye atılmış sunucuları hem de Docker Hub'ı kullanıyorlar.

Bu aktiviteler TeamTNT'nin saldırı yöntemlerindeki sürekli evrimini vurgular. Docker ortamlarını tehlikeye atmayı ve onları bir Docker Swarm'a dahil etmeyi amaçlayan karmaşık, çok aşamalı saldırıları başlatmak için sürekli olarak uyum sağlar.

TeamTNT'nin kötü amaçlı yüklerini barındırmak ve dağıtmak için Docker Hub kullanmasının yanı sıra, kurbanların hesaplama gücünü yetkisiz kripto para madenciliği için diğer taraflara kiraladığı ve böylece gelir akışlarını genişlettiği görüldü.

Bu kampanyanın işaretleri, araştırmacıların tehlikeye atılmış Docker örneklerini bir Docker Swarm'a kümelemek için alışılmadık çabaları tespit ettikleri bu ayın başlarında ortaya çıktı. Başlangıçta bu saldırıları doğrudan TeamTNT'ye atfetmekte tereddüt etseler de, araştırmacılar artık operasyonun başlangıçta anlaşıldığından çok daha kapsamlı olduğuna inanıyor.

Yeni TeamTNT Saldırıları Nasıl Çalışır?

Saldırılar, kripto madencileri konuşlandırmak ve Mining Rig Rentals platformunda kiralanmak üzere tehlikeye atılmış altyapıyı listelemek için masscan ve ZGrab aracılığıyla kimliği doğrulanmamış, ifşa edilmiş Docker API uç noktalarını tespit etmeyi içeriyor. Böylece TeamTNT'nin bu kaynakları doğrudan yönetmesi engelleniyor ve yasadışı iş modelinin karmaşıklığı ortaya çıkıyor.

Bu işlem, yaklaşık 16,7 milyon IP adresindeki 2375, 2376, 4243 ve 4244 portlarındaki Docker daemon'larını tarayan ve ardından bozuk komutların gömülü olduğu bir Alpine Linux imajının bulunduğu bir konteyneri dağıtan bir saldırı betiği kullanır.

Tehlikeye atılmış bir Docker Hub hesabından ('nmlm99') alınan görüntü, daha fazla istismar görevini başlatmak için Docker Gatling Gun ('TDGGinit.sh') olarak bilinen bir başlangıç kabuk betiğini çalıştırır.

Araştırmacılar tarafından not edilen önemli bir güncelleme, TeamTNT'nin Tsunami arka kapısından enfekte sunucuların uzaktan kontrolü için Sliver Command-and-Control (C2) çerçevesine geçişi olup, taktiklerde bir evrimi göstermektedir. Ek olarak, grup Chimaera, TDGG ve bioset (C2 operasyonları için) dahil olmak üzere imza isimlendirme kurallarını kullanmaya devam etmektedir ve bu, bunun tipik bir TeamTNT kampanyası olduğunu doğrulamaktadır.

TeamTNT bu kampanyada, trafiği web sunucularına yönlendirmek için DNS sorgularını çözerken anonimliği ve gizliliği artırmak için tasarlanmış bir hizmet olan AnonDNS'i (Anonim DNS) de kullanıyor.

Siber Suçlular Kripto Madencilerini Yaymaya Devam Ediyor

Bulgular, araştırmacıların Prometei kripto madenciliği botnetini dağıtmak için ismi açıklanmayan bir müşteriye yönelik hedefli kaba kuvvet saldırısını içeren yeni bir kampanyaya ışık tutmasının ardından geldi.

Prometei, Uzak Masaüstü Protokolü (RDP) ve Sunucu İleti Bloğu'ndaki (SMB) güvenlik açıklarından yararlanarak sistemde yayılıyor ve tehdit aktörünün kalıcılık kurma, güvenlik araçlarından kaçınma ve kimlik bilgisi dökümü ve yatay hareket yoluyla bir kuruluşun ağına daha derin erişim sağlama çabalarını ortaya çıkarıyor.

Etkilenen makineler, kurbanın bilgisi olmadan, saldırıya uğramış makinelerde kripto para (Monero) madenciliği yapmak için kullanılabilen bir madencilik havuzu sunucusuna bağlanıyor.