銀色惡意軟體

臭名昭著的加密劫持組織 TeamTNT 似乎正在準備一場新的大規模活動，重點是滲透雲端原生環境以挖掘加密貨幣並將受感染的伺服器出租給第三方。

他們目前的策略包括：

• 利用暴露的 Docker 守護程序來部署 Sliver 惡意軟體。
• 網路蠕蟲和加密貨幣礦工。
• 利用受感染的伺服器和 Docker Hub 傳播威脅軟體。

這些活動凸顯了 TeamTNT 在攻擊方法方面的持續發展。它始終適應發動複雜的多階段攻擊，旨在破壞 Docker 環境並將其招募到 Docker Swarm 中。

除了使用 Docker Hub 託管和分發惡意負載之外， TeamTNT還向其他方出租受害者的運算能力，進行未經授權的加密貨幣挖掘，從而擴大了其收入來源。

本月早些時候，當研究人員發現將受感染的 Docker 實例叢集到 Docker Swarm 中的非正統行為時，這項活動的跡象浮出水面。雖然最初猶豫是否將這些攻擊直接歸咎於 TeamTNT，但研究人員現在認為該行動的範圍比最初理解的要廣泛得多。

新的 TeamTNT 攻擊如何運作

這些攻擊涉及透過Masscan 和ZGrab 檢測未經身份驗證、暴露的Docker API 端點，以部署加密礦工並列出受感染的基礎設施以在採礦設備租賃平台上出租，從而使TeamTNT 能夠避免直接管理這些資源，這凸顯了其非法商業模式的複雜性。

此過程使用攻擊腳本，掃描約 1,670 萬個 IP 位址的連接埠 2375、2376、4243 和 4244 上的 Docker 守護進程，然後部署一個包含嵌入損壞命令的 Alpine Linux 映像的容器。

該映像源自受損的 Docker Hub 帳戶（「nmlm99」），執行名為 Docker Gadling Gun（「TDGGinit.sh」）的初始 shell 腳本，以啟動進一步的利用任務。

研究人員指出的一個關鍵更新是 TeamTNT 從 Tsunami 後門轉向 Sliver 命令與控制 (C2) 框架，用於遠端控制受感染的伺服器，這展示了策略的演變。此外，該組織繼續使用其簽名命名約定，包括 Chimaera、TDGG 和 bioset（用於 C2 操作），確認這是典型的 TeamTNT 活動。

在此活動中，TeamTNT 還利用 AnonDNS（匿名 DNS），該服務旨在在解析 DNS 查詢以將流量重定向到其 Web 伺服器時增強匿名性和隱私性。

網路犯罪分子繼續傳播加密貨幣礦工

研究結果公佈之際，研究人員揭示了一項新的活動，該活動涉及對一位未透露姓名的客戶進行有針對性的暴力攻擊，以傳播Prometei加密挖礦殭屍網路。

Prometei 透過利用遠端桌面協定(RDP) 和伺服器訊息區塊(SMB) 中的漏洞在系統中傳播，突出顯示威脅行為者在設定持久性、逃避安全工具以及透過憑證轉儲和橫向攻擊來更深入地訪問組織網路方面所做的努力移動。

受影響的機器連接到礦池伺服器，該伺服器可用於在受害者不知情的情況下在受感染的機器上挖掘加密貨幣（門羅幣）。