O infame grupo de criptojacking conhecido como TeamTNT parece estar se preparando para uma nova campanha em grande escala visando ambientes nativos da nuvem para mineração de criptomoedas e aluguel de servidores violados a terceiros.
“Atualmente, o grupo tem como alvo daemons Docker expostos para implantar malware Sliver, um worm cibernético e criptomineradores, usando servidores comprometidos e Docker Hub como infraestrutura para espalhar seu malware”, disse Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua. em um relatório publicado sexta-feira.
A atividade de ataque é mais uma vez uma prova da persistência do agente da ameaça e de sua capacidade de evoluir suas táticas e montar ataques em vários estágios com o objetivo de comprometer os ambientes Docker e inscrevê-los em um Docker Swarm.
Além de usar o Docker Hub para hospedar e distribuir suas cargas maliciosas, a TeamTNT tem sido observada oferecendo o poder computacional das vítimas a outras partes para mineração ilícita de criptomoedas, diversificando sua estratégia de monetização.
Rumores da campanha de ataque surgiram no início deste mês, quando Datadog divulgou tentativas maliciosas de encurralar instâncias infectadas do Docker em um Docker Swarm, aludindo que poderia ser trabalho da TeamTNT, ao mesmo tempo que não chegou a fazer uma atribuição formal. Mas a extensão whole da operação não estava clara até agora.
Morag disse ao The Hacker Information que o Datadog “encontrou a infraestrutura em um estágio muito inicial” e que sua descoberta “forçou o ator da ameaça a mudar um pouco a campanha”.
Os ataques envolvem a identificação de endpoints de API Docker não autenticados e expostos usando masscan e ZGrab e usá-los para implantação de criptomineradores e vender a infraestrutura comprometida a terceiros em uma plataforma de aluguel de mineração chamada Mining Rig Leases, efetivamente aliviando o trabalho de ter que gerenciá-los eles mesmos, um sinal do amadurecimento do modelo de negócios ilícitos.
Especificamente, isso é realizado por meio de um script de ataque que verifica daemons Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP. Posteriormente, ele implanta um contêiner executando uma imagem do Alpine Linux com comandos maliciosos.
A imagem, recuperada de uma conta comprometida do Docker Hub (“nmlm99”) sob seu controle, também executa um script de shell inicial chamado Docker Gatling Gun (“TDGGinit.sh”) para iniciar atividades pós-exploração.
Uma mudança notável observada pelo Aqua é a mudança do backdoor Tsunami para a estrutura de comando e controle (C2) Sliver de código aberto para comandar remotamente os servidores infectados.
“Além disso, a TeamTNT continua a usar suas convenções de nomenclatura estabelecidas, como Chimaera, TDGG e bioset (para operações C2), o que reforça a ideia de que esta é uma campanha clássica da TeamTNT”, disse Morag.
“Nesta campanha, a TeamTNT também está usando anondns (AnonDNS ou DNS Anônimo é um conceito ou serviço projetado para fornecer anonimato e privacidade na resolução de consultas DNS), para apontar para seu servidor internet.”
As descobertas surgem no momento em que a Development Micro lança luz sobre uma nova campanha que envolveu um ataque de força bruta direcionado contra um cliente não identificado para entregar o botnet de mineração de criptografia Prometei.
“O Prometei se espalha no sistema explorando vulnerabilidades no Distant Desktop Protocol (RDP) e no Server Message Block (SMB)”, disse a empresa, destacando os esforços do ator da ameaça na configuração da persistência, evitando ferramentas de segurança e obtendo acesso mais profundo aos dados de uma organização. rede por meio de despejo de credenciais e movimento lateral.
“As máquinas afetadas se conectam a um servidor de pool de mineração que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas sem o conhecimento da vítima”.