Sliver 恶意软件

臭名昭著的加密劫持组织 TeamTNT 似乎正在准备发起一场新的大规模活动，重点是渗透云原生环境以挖掘加密货币并将受感染的服务器出租给第三方。

他们目前的策略包括：

• 利用暴露的 Docker 守护进程来部署 Sliver 恶意软件。
• 网络蠕虫和加密矿工。
• 利用受感染的服务器和 Docker Hub 来传播威胁软件。

这些活动凸显了 TeamTNT 在攻击方法上的持续改进。它不断调整以发起复杂的多阶段攻击，旨在破坏 Docker 环境并将其招募到 Docker Swarm 中。

除了使用 Docker Hub 托管和分发恶意负载外， TeamTNT还被发现将受害者的计算能力出租给其他方进行未经授权的加密货币挖掘，从而扩大其收入来源。

本月初，研究人员发现了将受感染的 Docker 实例集群到 Docker Swarm 中的非传统做法，这一活动的迹象浮出水面。虽然研究人员最初不愿将这些攻击直接归咎于 TeamTNT，但现在他们认为该行动比最初理解的要广泛得多。

新的 TeamTNT 攻击如何运作

这些攻击涉及通过 masscan 和 ZGrab 检测未经身份验证的暴露的 Docker API 端点，以部署加密矿工，并在 Mining Rig Rentals 平台上列出可供出租的受损基础设施，从而使 TeamTNT 避免直接管理这些资源——突显了其非法商业模式的复杂性。

此过程使用一个攻击脚本，扫描大约 1670 万个 IP 地址上的 2375、2376、4243 和 4244 端口上的 Docker 守护进程，然后部署一个嵌入了损坏命令的 Alpine Linux 映像的容器。

该镜像来自受损的 Docker Hub 帐户（“nmlm99”），执行称为 Docker Gatling Gun 的初始 shell 脚本（“TDGGinit.sh”）以启动进一步的利用任务。

研究人员注意到的一个关键更新是 TeamTNT 从 Tsunami 后门转向 Sliver 命令和控制 (C2) 框架，用于远程控制受感染的服务器，这表明其战术有所演变。此外，该组织继续使用其标志性的命名约定，包括 Chimaera、TDGG 和 bioset（用于 C2 操作），证实这是一次典型的 TeamTNT 活动。

在此次活动中，TeamTNT 还使用了 AnonDNS（匿名 DNS），这是一项旨在在解析 DNS 查询以将流量重定向到其 Web 服务器时增强匿名性和隐私性的服务。

网络犯罪分子继续传播加密货币挖矿软件

这一发现是在研究人员揭露一项新活动之际发布的，该活动针对一位未具名客户发起了有针对性的暴力攻击，以传播Prometei加密挖矿僵尸网络。

Prometei 通过利用远程桌面协议 (RDP) 和服务器消息块 (SMB) 中的漏洞在系统中传播，突显了威胁行为者在设置持久性、逃避安全工具以及通过凭证转储和横向移动获得对组织网络的更深入访问权限方面的努力。

受影响的机器连接到采矿池服务器，可以在受害者不知情的情况下在受感染的机器上挖掘加密货币（Monero）。