TeamTNT olarak bilinen kötü şöhretli kripto hırsızlığı grubu, kripto para madenciliği yapmak ve ihlal edilen sunucuları üçüncü taraflara kiralamak için bulut tabanlı ortamları hedef alan yeni bir büyük ölçekli kampanyaya hazırlanıyor gibi görünüyor.
Bulut güvenlik firması Aqua’nın tehdit istihbaratı direktörü Assaf Morag, “Grup şu anda bir siber solucan olan Sliver kötü amaçlı yazılımını ve kripto madencilerini dağıtmak için açığa çıkan Docker arka plan programlarını hedef alıyor ve kötü amaçlı yazılımlarını yaymak için altyapı olarak tehlikeye atılmış sunucuları ve Docker Hub’ı kullanıyor.” dedi. Cuma günü yayınlanan bir raporda.
Saldırı faaliyeti, bir kez daha tehdit aktörünün ısrarının ve taktiklerini geliştirme ve Docker ortamlarını tehlikeye atmak ve onları Docker Swarm’a dahil etme amacıyla çok aşamalı saldırılar gerçekleştirme becerisinin bir kanıtıdır.
Kötü amaçlı veri yüklerini barındırmak ve dağıtmak için Docker Hub’ı kullanmanın yanı sıra TeamTNT’nin, kurbanların hesaplama gücünü yasa dışı kripto para birimi madenciliği için diğer taraflara sunduğu ve para kazanma stratejisini çeşitlendirdiği gözlemlendi.
Saldırı kampanyasına dair söylentiler, bu ayın başlarında Datadog’un, virüs bulaşmış Docker örneklerini bir Docker Swarm’a toplamaya yönelik kötü niyetli girişimleri ifşa etmesiyle ortaya çıktı; bunun TeamTNT’nin işi olabileceğini ima ederken aynı zamanda resmi bir atıf yapmaktan da kaçındı. Ancak şu ana kadar operasyonun tam kapsamı netlik kazanmadı.
Morag, The Hacker News’e Datadog’un “altyapıyı çok erken bir aşamada bulduğunu” ve keşiflerinin “tehdit aktörünü kampanyayı biraz değiştirmeye zorladığını” söyledi.
Saldırılar, masscan ve ZGrab kullanarak kimliği doğrulanmamış ve açıkta kalan Docker API uç noktalarının belirlenmesini ve bunların kripto madenci dağıtımı için kullanılmasını ve tehlikeye atılan altyapının Mining Rig Rentals adı verilen bir madencilik kiralama platformunda başkalarına satılmasını ve bunları kendilerinin yönetme zorunluluğunun etkili bir şekilde ortadan kaldırılmasını gerektiriyor. yasadışı iş modelinin olgunlaşması.
Özellikle bu, yaklaşık 16,7 milyon IP adresinde 2375, 2376, 4243 ve 4244 numaralı bağlantı noktalarında Docker arka plan programlarını tarayan bir saldırı komut dosyası aracılığıyla gerçekleştirilir. Daha sonra, kötü amaçlı komutlarla Alpine Linux görüntüsünü çalıştıran bir kapsayıcıyı dağıtır.
Kontrolleri altındaki güvenliği ihlal edilmiş bir Docker Hub hesabından (“nmlm99”) alınan görüntü, aynı zamanda istismar sonrası faaliyetleri başlatmak için Docker Gatling Gun (“TDGGinit.sh”) adlı bir başlangıç kabuk komut dosyasını da yürütür.
Aqua tarafından gözlemlenen dikkate değer bir değişiklik, Tsunami arka kapısından, virüs bulaşmış sunuculara uzaktan kumanda etmek için açık kaynaklı Sliver komuta ve kontrol (C2) çerçevesine geçiştir.
Morag, “Ek olarak TeamTNT, Chimaera, TDGG ve bioset (C2 operasyonları için) gibi yerleşik adlandırma kurallarını kullanmaya devam ediyor ve bu da bunun klasik bir TeamTNT kampanyası olduğu fikrini güçlendiriyor” dedi.
“Bu kampanyada TeamTNT ayrıca web sunucularını işaret etmek için anondns (AnonDNS veya Anonim DNS, DNS sorgularını çözerken anonimlik ve gizlilik sağlamak üzere tasarlanmış bir kavram veya hizmettir) kullanıyor.”
Bulgular, Trend Micro’nun, Prometei kripto madenciliği botnet’ini sunmak için isimsiz bir müşteriye yönelik hedefli bir kaba kuvvet saldırısı içeren yeni bir kampanyaya ışık tutmasıyla ortaya çıktı.
Şirket, “Prometei, Uzak Masaüstü Protokolü (RDP) ve Sunucu Mesaj Bloğundaki (SMB) güvenlik açıklarından yararlanarak sisteme yayılıyor” dedi ve tehdit aktörünün kalıcılık oluşturma, güvenlik araçlarından kaçınma ve bir kuruluşun güvenlik araçlarına daha derin erişim sağlama çabalarına dikkat çekti. kimlik bilgilerinin boşaltılması ve yanal hareket yoluyla ağ.
“Etkilenen makineler, kurbanın bilgisi olmadan ele geçirilen makinelerde kripto para (Monero) madenciliği yapmak için kullanılabilecek bir madencilik havuzu sunucusuna bağlanıyor.”