A operação de criptojacking conhecida como Equipe TNT provavelmente ressurgiu como parte de uma nova campanha direcionada a infraestruturas de Servidores Virtuais Privados (VPS) baseadas no sistema operacional CentOS.
“O acesso inicial foi realizado por meio de um ataque de força bruta Safe Shell (SSH) aos ativos da vítima, durante o qual o agente da ameaça enviou um script malicioso”, disseram os pesquisadores do Group-IB, Vito Alfano e Nam Le Phuong, em um relatório na quarta-feira.
O script malicioso, observou a empresa de segurança cibernética de Cingapura, é responsável por desabilitar recursos de segurança, excluir registros, encerrar processos de mineração de criptomoedas e inibir esforços de recuperação.
As cadeias de ataque acabam abrindo caminho para a implantação do rootkit Diamorphine para ocultar processos maliciosos, ao mesmo tempo em que configuram acesso remoto persistente ao host comprometido.
A campanha foi atribuída à TeamTNT com confiança moderada, citando semelhanças nas táticas, técnicas e procedimentos (TTPs) observados.
O TeamTNT foi descoberto pela primeira vez na natureza em 2019, realizando atividades ilícitas de mineração de criptomoedas ao se infiltrar em ambientes de nuvem e contêiner. Enquanto o ator da ameaça se despediu em novembro de 2021 anunciando um “fim limpo”, relatórios públicos revelaram várias campanhas realizadas pela equipe de hackers desde setembro de 2022.
A atividade mais recente vinculada ao grupo se manifesta na forma de um script de shell que primeiro verifica se o dispositivo foi infectado anteriormente por outras operações de cryptojacking e, depois, compromete a segurança do dispositivo desabilitando o SELinux, o AppArmor e o firewall.
 |
| Alterações implementadas no serviço ssh |
“O script procura um daemon relacionado ao provedor de nuvem Alibaba, chamado aliyun.service”, disseram os pesquisadores. “Se ele detectar esse daemon, ele baixa um script bash de replace.aegis.aliyun.com para desinstalar o serviço.”
Além de encerrar todos os processos concorrentes de mineração de criptomoedas, o script executa uma série de comandos para remover rastros deixados por outros mineradores, encerrar processos em contêineres e remover imagens implantadas em conexão com quaisquer mineradores de moedas.
Além disso, ele estabelece persistência configurando tarefas cron que baixam o script de shell a cada 30 minutos de um servidor remoto (65.108.48(.)150) e modificando o arquivo “/root/.ssh/authorized_keys” para adicionar uma conta backdoor.
“Ele bloqueia o sistema modificando atributos de arquivo, criando um usuário backdoor com acesso root e apagando o histórico de comandos para ocultar suas atividades”, observaram os pesquisadores. “O agente da ameaça não deixa nada ao acaso; de fato, o script implementa várias mudanças na configuração do serviço SSH e firewall.”