Sliver Malware

Nhóm đào tiền điện tử khét tiếng TeamTNT dường như đang chuẩn bị cho một chiến dịch mới, quy mô lớn tập trung vào việc xâm nhập vào môi trường đám mây để khai thác tiền điện tử và cho thuê máy chủ bị xâm phạm cho bên thứ ba.

Chiến lược hiện tại của họ bao gồm:

• Khai thác các daemon Docker bị lộ để triển khai phần mềm độc hại Sliver.
• Một loại sâu mạng và công cụ đào tiền điện tử.
• Tận dụng cả máy chủ bị xâm nhập và Docker Hub để phát tán phần mềm đe dọa.

Các hoạt động này làm nổi bật sự tiến hóa liên tục của TeamTNT trong các phương pháp tấn công. Nó liên tục thích nghi để khởi chạy các cuộc tấn công phức tạp, nhiều giai đoạn nhằm xâm phạm môi trường Docker và tuyển dụng chúng vào Docker Swarm.

Ngoài việc sử dụng Docker Hub để lưu trữ và phân phối các phần mềm độc hại, TeamTNT còn cho thuê sức mạnh tính toán của nạn nhân cho các bên khác để khai thác tiền điện tử trái phép, qua đó mở rộng nguồn doanh thu.

Các dấu hiệu của chiến dịch này đã xuất hiện vào đầu tháng này khi các nhà nghiên cứu xác định những nỗ lực không chính thống nhằm nhóm các phiên bản Docker bị xâm phạm thành một Docker Swarm. Mặc dù ban đầu còn do dự khi quy các cuộc tấn công này trực tiếp cho TeamTNT, nhưng hiện tại các nhà nghiên cứu tin rằng hoạt động này có quy mô lớn hơn nhiều so với những gì ban đầu họ hiểu.

Cách thức hoạt động của các cuộc tấn công TeamTNT mới

Các cuộc tấn công liên quan đến việc phát hiện các điểm cuối API Docker chưa xác thực và bị lộ thông qua masscan và ZGrab để triển khai trình khai thác tiền điện tử và liệt kê cơ sở hạ tầng bị xâm phạm để cho thuê trên nền tảng Mining Rig Rentals, cho phép TeamTNT tránh phải quản lý trực tiếp các tài nguyên này—làm nổi bật sự tinh vi của mô hình kinh doanh bất hợp pháp của họ.

Quá trình này sử dụng một tập lệnh tấn công quét các daemon Docker trên các cổng 2375, 2376, 4243 và 4244 trên khoảng 16,7 triệu địa chỉ IP, sau đó triển khai một container có hình ảnh Alpine Linux được nhúng các lệnh bị hỏng.

Hình ảnh này có nguồn gốc từ một tài khoản Docker Hub bị xâm phạm ('nmlm99'), thực thi một tập lệnh shell ban đầu được gọi là Docker Gatling Gun ('TDGGinit.sh') để khởi chạy các tác vụ khai thác tiếp theo.

Một bản cập nhật quan trọng được các nhà nghiên cứu ghi nhận là sự thay đổi của TeamTNT từ backdoor Tsunami sang khuôn khổ Sliver Command-and-Control (C2) để điều khiển từ xa các máy chủ bị nhiễm, cho thấy sự tiến hóa trong chiến thuật. Ngoài ra, nhóm này tiếp tục sử dụng các quy ước đặt tên đặc trưng của mình, bao gồm Chimaera, TDGG và bioset (cho các hoạt động C2), xác nhận rằng đây là một chiến dịch TeamTNT điển hình.

Trong chiến dịch này, TeamTNT cũng sử dụng AnonDNS (DNS ẩn danh), một dịch vụ được thiết kế để tăng cường tính ẩn danh và quyền riêng tư khi giải quyết các truy vấn DNS để chuyển hướng lưu lượng truy cập đến máy chủ web của họ.

Tội phạm mạng tiếp tục phát tán phần mềm khai thác tiền điện tử

Những phát hiện này được đưa ra khi các nhà nghiên cứu làm sáng tỏ một chiến dịch mới liên quan đến cuộc tấn công bằng vũ lực có mục tiêu vào một khách hàng giấu tên để triển khai botnet khai thác tiền điện tử Prometei .

Prometei lây lan trong hệ thống bằng cách khai thác lỗ hổng trong Giao thức máy tính từ xa (RDP) và Khối tin nhắn máy chủ (SMB), làm nổi bật nỗ lực của kẻ tấn công trong việc thiết lập tính bền bỉ, né tránh các công cụ bảo mật và truy cập sâu hơn vào mạng của tổ chức thông qua việc đánh cắp thông tin xác thực và di chuyển ngang hàng.

Các máy bị ảnh hưởng sẽ kết nối với máy chủ khai thác, có thể được sử dụng để khai thác tiền điện tử (Monero) trên các máy bị xâm phạm mà nạn nhân không hề hay biết.