TeamTNT, SSH kaba kuvvet saldırılarıyla CentOS VPS bulutlarını hedef alıyor. Güvenliği devre dışı bırakan, günlükleri silen ve mevcut madencileri öldürmek, Docker kapsayıcılarını kaldırmak ve DNS’i Google sunucularına yönlendirmek için sistem dosyalarını değiştiren kötü amaçlı bir betik yükledi.
Komut dosyası, kök ayrıcalıkları elde etmek ve varlığını gizlemek için sistem ayarlarını değiştirerek, kök erişimine sahip bir arka kapı kullanıcısı oluşturarak ve izlerini örtmek için komut geçmişini silerek kalıcı kontrolü sürdürmek amacıyla Diamorphine kök setini gizlice yükler.
Araştırmacılar, CentOS VPS bulut altyapılarını hedef alan yeni bir kampanya keşfetti.
Saldırganlar, ilk erişimi elde etmek için SSH kaba kuvvet saldırısını kullanıyor ve diğer madencilik faaliyetlerinden gelen günlükleri arayarak önceki ihlalleri kontrol eden kötü amaçlı bir betik yüklüyor.
Yakın zamanda oluşturulmuş bir xmrig.log dosyasını kontrol eder, ardından güvenlik duvarını ve NMI watchdog’unu devre dışı bırakır ve çeşitli sistem dizinlerinin ve authorized_keys dosyasının izinlerini değiştirerek syslog klasörünü siler.
Komut dosyası bir Alibaba bulut daemon’u arar ve onu kaldırır. Daha sonra, kripto para madenciliği süreçlerini imzaları eşleştirerek öldürmek için SELinux ve AppArmor güvenlik önlemlerini devre dışı bırakır.
Tehdit aktörü, tehlikeye atılan ana bilgisayarda izinleri değiştirmek ve meşru işlemleri yeniden adlandırmak için “tntrecht” adlı özel bir araç kullanırken, coin miner kapsayıcılarını sonlandırmak ve kaldırmak için Docker kullanılıyor ve DNS yapılandırması Google DNS sunucularını kullanacak şekilde değiştiriliyor.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Betik, kalıcılığı sağlamak için crontab dosyalarını değiştirir, mevcut işleri temizler ve sürekli yürütme ve sistem kilitlemesini sağlamak için kötü amaçlı kod yerleştirir.
Belirli bir C2 sunucusundan periyodik olarak yükün bir kopyasını indirmek için bir cron işi oluşturur; bu, kaynak tehlikeye girse bile yükün erişilebilir kalmasını sağlar.
Crontab dosyasının zaman damgası, güvenlik analistlerini yanıltmak ve kötü amaçlı faaliyetleri tespit etmeyi zorlaştırmak için kasıtlı olarak eski olarak belirlenmiştir.
Betik kök ayrıcalıklarını doğrular, ardından bir dizin oluşturur ve içine base64 kodlu bir yük kopyalar.
Çıkarıldığında, yük üç dosyayı ortaya çıkarır: diamorphine.c, diamorphine.h ve Makefile.
Bunlar GitHub’da bulunan Diamorphine adlı bir rootkit’in kaynak kodlarını oluşturuyor.
Linux çekirdeğinin bir modülü olan diamorphine rootkit, saldırganlara yüksek ayrıcalıklar ve gizli yürütme yetenekleri sağlıyor.
Bu durum saldırganların süreçleri, dosyaları ve kendilerini gizlemelerine ve hatta kullanıcıların root yetkisine sahip olmalarına olanak tanıyarak, tehlikeye atılmış sistemler için önemli bir güvenlik tehdidi oluşturur.
TeamTNT, dosya özniteliklerini değiştirmek için chattr’yi kullanarak tehlikeye atılan sistemi kilitledi. Bu, yöneticinin chatter veya diğer kurtarma araçlarını çalıştırmasını önledi ve sistemi yeniden başlatma, kapatma veya sisteme yeniden erişim sağlama girişimlerini etkili bir şekilde engelledi.
Grup IB’ye göre saldırgan, kök ayrıcalıklarına sahip yeni bir kullanıcı oluşturuyor, onu sudoer grubuna ekliyor ve sisteme kalıcı erişim sağlayan açık bir anahtar kullanarak erişime izin vermek için SSH’yi yapılandırıyor.
Bu komut dosyası, güvenliği ve gizliliği artırmak için SSH ve güvenlik duvarı ayarlarını değiştirir; SSH portunu 11222 olarak değiştirir, açık anahtar kimlik doğrulamasını etkinleştirir ve güvenlik duvarını 11222 portundan gelen bağlantılara açar.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free