Kripto para korsanlığı operasyonu olarak bilinen TakımTNT CentOS işletim sistemine dayalı Sanal Özel Sunucu (VPS) altyapılarını hedef alan yeni bir kampanyanın parçası olarak yeniden ortaya çıkmış olabilir.
Group-IB araştırmacıları Vito Alfano ve Nam Le Phuong Çarşamba günü yayınladıkları raporda, “İlk erişim, tehdit aktörünün kötü amaçlı bir betik yükleyerek kurbanın varlıklarına yönelik bir Güvenli Kabuk (SSH) kaba kuvvet saldırısı yoluyla gerçekleştirildi” dedi.
Singapurlu siber güvenlik şirketinin açıklamasına göre, kötü amaçlı komut dosyası, güvenlik özelliklerini devre dışı bırakmaktan, kayıtları silmekten, kripto para madenciliği süreçlerini sonlandırmaktan ve kurtarma çabalarını engellemekten sorumlu.
Saldırı zincirleri, kötü amaçlı süreçleri gizlemek için Diamorphine kök setinin konuşlandırılmasının önünü açarken, aynı zamanda tehlikeye atılan ana bilgisayara kalıcı uzaktan erişim kurulmasını da sağlıyor.
Kampanya, gözlemlenen taktik, teknik ve prosedürlerdeki (TTP’ler) benzerliklere atıfta bulunularak orta düzeyde bir güvenle TeamTNT’ye atfedildi.
TeamTNT ilk olarak 2019’da bulut ve konteyner ortamlarına sızarak yasadışı kripto para madenciliği faaliyetleri yürütürken keşfedildi. Tehdit aktörü Kasım 2021’de “temiz bir çıkış” duyurarak veda ederken, kamuoyuna yapılan bildirimler Eylül 2022’den bu yana hacker ekibi tarafından yürütülen birkaç kampanyayı ortaya çıkardı.
Gruba bağlı son aktivite, önce daha önce başka kripto para korsanlığı operasyonları tarafından enfekte edilip edilmediğini kontrol eden, ardından SELinux, AppArmor ve güvenlik duvarını devre dışı bırakarak cihaz güvenliğini bozan bir kabuk betiği biçiminde ortaya çıkıyor.
 |
| Ssh servisinde uygulanan değişiklikler |
Araştırmacılar, “Komut dosyası, bulut sağlayıcısı Alibaba ile ilgili aliyun.service adlı bir daemon arıyor,” dedi. “Bu daemon’u tespit ederse, hizmeti kaldırmak için update.aegis.aliyun.com adresinden bir bash komut dosyası indirir.”
Tüm rakip kripto para madenciliği süreçlerini öldürmenin yanı sıra, komut dosyası diğer madencilerin bıraktığı izleri kaldırmak, konteynerleştirilmiş süreçleri sonlandırmak ve herhangi bir kripto para madencisiyle bağlantılı olarak dağıtılan görüntüleri kaldırmak için bir dizi komut yürütmek için adımlar atıyor.
Ayrıca, uzak bir sunucudan (65.108.48) her 30 dakikada bir kabuk betiğini indiren cron işlerini yapılandırarak kalıcılığı sağlar.[.]150) ve “/root/.ssh/authorized_keys” dosyasını değiştirerek bir arka kapı hesabı ekleyin.
Araştırmacılar, “Dosya özniteliklerini değiştirerek, kök erişime sahip bir arka kapı kullanıcısı oluşturarak ve faaliyetlerini gizlemek için komut geçmişini silerek sistemi kilitler,” diye belirtti. “Tehdit aktörü hiçbir şeyi şansa bırakmaz; aslında, komut dosyası SSH ve güvenlik duvarı hizmeti yapılandırması içinde çeşitli değişiklikler uygular.”