Sliver Malware

Сумнозвісна група криптоджекерів TeamTNT, схоже, готується до нової широкомасштабної кампанії, зосередженої на проникненні в рідні хмарні середовища для майнінгу криптовалюти та оренди скомпрометованих серверів третім особам.

Їх поточна стратегія передбачає:

• Використання відкритих демонов Docker для розгортання шкідливого програмного забезпечення Sliver.
• Кіберхробак і криптомайнер.
• Використання скомпрометованих серверів і Docker Hub для поширення їхнього загрозливого програмного забезпечення.

Ці дії підкреслюють постійну еволюцію методів атак TeamTNT. Він постійно адаптується для запуску складних багатоетапних атак, спрямованих на компрометацію середовищ Docker і залучення їх до групи Docker Swarm.

На додаток до використання Docker Hub для розміщення та розповсюдження своїх зловмисних корисних навантажень, було помічено, що TeamTNT здає в оренду обчислювальну потужність жертв іншим сторонам для несанкціонованого майнінгу криптовалюти, розширюючи свої потоки доходу.

Ознаки цієї кампанії з’явилися раніше цього місяця, коли дослідники виявили нестандартні спроби згрупувати скомпрометовані екземпляри Docker у Docker Swarm. Хоча спочатку дослідники вагалися приписувати ці атаки безпосередньо TeamTNT, тепер дослідники вважають, що операція набагато масштабніша, ніж передбачалося спочатку.

Як працюють нові атаки TeamTNT

Атаки передбачають виявлення неавтентифікованих відкритих кінцевих точок Docker API за допомогою masscan і ZGrab для розгортання криптомайнерів і перерахування скомпрометованої інфраструктури для оренди на платформі Mining Rig Rentals, що дозволяє TeamTNT уникати безпосереднього керування цими ресурсами, що підкреслює складність їхньої незаконної бізнес-моделі.

Цей процес використовує сценарій атаки, який сканує демони Docker на портах 2375, 2376, 4243 і 4244 на приблизно 16,7 мільйонах IP-адрес, а потім розгортає контейнер із вбудованим образом Alpine Linux із пошкодженими командами.

Образ, отриманий із скомпрометованого облікового запису Docker Hub ('nmlm99'), виконує початковий сценарій оболонки, відомий як Docker Gatling Gun ('TDGGinit.sh'), щоб запускати подальші завдання експлуатації.

Ключовим оновленням, яке відзначили дослідники, є перехід TeamTNT від бекдору Tsunami до фреймворку Sliver Command-and-Control (C2) для дистанційного керування зараженими серверами, що демонструє еволюцію тактики. Крім того, група продовжує використовувати свої характерні угоди про найменування, включаючи Chimaera, TDGG і bioset (для операцій C2), підтверджуючи, що це типова кампанія TeamTNT.

У цій кампанії TeamTNT також використовує AnonDNS (Anonymous DNS), службу, призначену для підвищення анонімності та конфіденційності під час вирішення DNS-запитів для перенаправлення трафіку на їхній веб-сервер.

Кіберзлочинці продовжують поширювати криптомайнери

Ці висновки зроблені, коли дослідники проливають світло на нову кампанію, яка передбачала цілеспрямовану атаку грубою силою на неназваного клієнта для створення ботнету для майнінгу криптовалют Prometei .

Prometei поширюється в системі, використовуючи вразливості в протоколі віддаленого робочого стола (RDP) і блоці повідомлень сервера (SMB), висвітлюючи зусилля зловмисника щодо налаштування постійності, ухилення від інструментів безпеки та отримання глибшого доступу до мережі організації за допомогою скидання облікових даних і сторонніх рух.

Уражені машини підключаються до сервера майнінг-пулу, який можна використовувати для майнінгу криптовалют (Monero) на скомпрометованих машинах без відома жертви.