O infame grupo de criptojacking conhecido como TeamTNT parece estar preparando uma nova campanha importante visando a computação em nuvem para extrair criptomoedas e alugar servidores quebrados para estrangeiros.
“A equipe está atualmente visando daemons Docker expostos para instalar malware Sliver, worms cibernéticos e criptomineradores, usando servidores vulneráveis e Docker Hub como infraestrutura para distribuir o malware”, disse Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua, disse Assaf. Morag. em um relatório publicado na sexta-feira.
A atividade de ataque também é uma prova da persistência do ator da ameaça e de sua capacidade de mudar suas táticas e lançar um ataque em vários estágios com o objetivo de comprometer o ambiente Docker e colocá-los no Docker Swarm.
Além de usar o Docker Hub para hospedar e distribuir suas cargas maliciosas, a TeamTNT tem sido vista capacitando as vítimas a se juntarem a outras organizações ilegais de mineração de criptomoedas, diversificando sua estratégia de monetização.
Rumores da campanha de ataque surgiram no início deste mês, quando Datadog expôs tentativas maliciosas de injetar malware Docker no Docker Swarm, sugerindo que poderia ser trabalho da TeamTNT, ao mesmo tempo que se absteve de fazer uma declaração oficial. Mas a extensão total do trabalho permanece obscura até agora.
Morag disse ao The Hacker News que o Datadog “descobriu a infraestrutura logo no início” e que sua descoberta “forçou o ator da ameaça a mudar um pouco a campanha”.
Este ataque consiste em atingir endpoints de API Docker não autorizados e expostos usando maskan e ZGrab e usá-los para implantações de criptomineradores e vender infraestrutura vulnerável a terceiros em um local de aluguel de mineração chamado Mining Rig Rentals, liberando efetivamente uma operação autorregulada, o token. da maturidade do modelo de negócios ilegal.
Especificamente, isso é feito com um script de ataque que verifica os daemons do Docker nas portas 2375, 2376, 4243 e 4244 em aproximadamente 16,7 milhões de endereços IP. Em seguida, ele executa um contêiner executando uma imagem do Alpine Linux com comandos maliciosos.
A imagem, obtida de uma conta vulnerável do Docker Hub (“nmlm99”) sob seu controle, também usa um script de shell primitivo chamado Docker Gatling Gun (“TDGGinit.sh”) para iniciar operações pós-exploração.
Outra mudança notável vista pelo Aqua é a mudança do backdoor do Tsunami para um sistema aberto de comando e controle (C2) Sliver para controle remoto de servidores infectados.
“Além disso, a TeamTNT continua a usar suas convenções de nomenclatura estabelecidas, como Chimaera, TDGG e bioset (para desempenho C2), o que reforça a ideia de que esta é uma campanha clássica da TeamTNT”, disse Morag.
“Nesta campanha, a TeamTNT também utiliza anondns (AnonDNS ou DNS anônimo é um conceito ou serviço desenvolvido para fornecer anonimato e privacidade na resolução de consultas DNS), para identificar seu servidor web.”
As descobertas surgem no momento em que a Trend Micro lança luz sobre uma nova campanha que envolveu um ataque direcionado a um cliente não identificado para derrubar o botnet de mineração de criptografia Prometei.
“O Prometei se espalha no sistema usando defeitos no Remote Desktop Protocol (RDP) e Server Message Block (SMB)”, a empresa enfatiza os esforços dos atores da ameaça para interromper a persistência, evitar ferramentas de segurança e acesso profundo à organização. rede por meio da disposição de provas e moções das partes.
“As máquinas afetadas se conectam a um servidor de mineração que pode ser usado para extrair criptomoedas (Monero) das máquinas comprometidas sem o conhecimento da vítima.”
