TeamTNT olarak bilinen kötü şöhretli bir bilgisayar korsanlığı grubu, CentOS işletim sisteminde çalışan Sanal Özel Sunucu (VPS) altyapılarını hedef alan yeni bir kampanyayla yeniden ortaya çıktı.
Kripto para madenciliği faaliyetleriyle bilinen grup, en az 2019’dan beri aktif ve daha önce Linux ve Redis sunucularının yanı sıra yanlış yapılandırılmış Docker kapsayıcılarını ve Kubernetes kümelerini hedef almıştı.
Group-IB araştırmacılarının yakın zamanda yayınladığı bir rapora göre, son saldırı, tehdit aktörünün kurbanın varlıklarına yönelik bir Güvenli Kabuk (SSH) kaba kuvvet saldırısıyla başlıyor. Bu saldırı sırasında tehdit aktörleri kötü amaçlı bir betik yüklüyor.
Komut dosyası, mevcut madencileri ararken güvenlik özelliklerini devre dışı bırakmak, günlükleri silmek ve sistem dosyalarını değiştirmek için tasarlanmıştır. Ayrıca kripto para madenciliği süreçlerini sonlandırır, Docker kapsayıcılarını kaldırır ve Google sunucularındaki DNS ayarlarını günceller.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katılın
Kötü amaçlı betik, saldırganın tehlikeye atılan ana bilgisayarda gizlice kötü amaçlı faaliyetler yürütmesine olanak tanıyan, Linux çekirdekleri için yüklenebilir çekirdek modülü (LKM) kök seti olan Diamorphine kök setini yükler.
Rootkit, sessiz çalışma, herhangi bir işlemi gizleme/gösterme yeteneği ve herhangi bir kullanıcıya sinyal göndererek root yetkisi verme yeteneği gibi özellikler sunar.
Tehdit aktörü ayrıca, tehlikeye atılan sistem üzerinde kalıcılığı ve kontrolü sürdürmek için özel araçlar kullanır. Komut dosyası, kök erişime sahip bir arka kapı kullanıcısı oluşturur, onu ‘sudoer’ grubuna ekler ve SSH üzerinden güvenli erişime izin vermek için genel bir anahtar yükler.
Group-IB, söz konusu betiğin aynı zamanda dosya özniteliklerini değiştirerek sistemi kilitlediğini, sistem yöneticisinin korunan dosyaları açmasını engellediğini ve kurtarma çalışmalarını aksattığını söyledi.
Güvenlik uzmanları, TeamTNT’nin yeniden canlanmasının bulut altyapılarının güvenliğini sağlamanın giderek karmaşıklaştığını gösterdiği konusunda uyarıyor.
Critical Start’ta siber tehdit araştırmaları kıdemli yöneticisi Callie Guenther, “Kubernetes ve Docker gibi bulut tabanlı teknolojilerle saldırganlar, kaynakların kontrolünü ele geçirmek için yanlış yapılandırmalardan ve zayıf güvenlik uygulamalarından faydalanabilir” dedi.
Özellikle sonlanmasına rağmen hala yaygın olarak kullanılan CentOS 7 versiyonunun kullanımı, bu sistemleri saldırılara karşı savunmasız hale getiriyor.
Araştırmacılar, “TeamTNT’nin CentOS VPS örneklerine odaklanması önemli çünkü bu sistemlerde genellikle güncel güvenlik yamaları bulunmuyor ve bu da onları savunmasız hale getiriyor” dedi.
Bu tehditleri azaltmak için güvenlik ekiplerinin SSH yapılandırmalarını güçlendirmeleri, rootkit’leri izlemeleri ve konteynerleştirilmiş ortamların güvenliğini sağlamaları önerilir.
Ayrıca, en son güvenlik yamalarını uygulamak, güvenlik duvarlarını yalnızca temel hizmetlere izin verecek şekilde yapılandırmak ve SSH erişimini belirli bir IP adresi kümesiyle sınırlamak gibi güvenlik önlemlerini uygulamak bu saldırıların önlenmesine yardımcı olabilir.
TeamTNT’ye atfedilen son kampanya, bulut dağıtımlarında gelişmiş güvenlik önlemlerine duyulan ihtiyacın altını çiziyor. Bulut teknolojileri gelişmeye devam ettikçe, tehdit aktörlerinin taktikleri de gelişiyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial