El infame grupo de criptojacking conocido como TeamTNT parece estar preparándose para una nueva campaña a gran escala dirigida a entornos nativos de la nube para extraer criptomonedas y alquilar servidores pirateados a terceros.
«Actualmente, el grupo está apuntando a demonios Docker expuestos para implementar malware Sliver, un gusano cibernético y criptomineros, utilizando servidores comprometidos y Docker Hub como infraestructura para difundir su malware», Assaf Morag, director de inteligencia de amenazas de la empresa de seguridad en la nube Aqua, dicho en un informe publicado el viernes.
La actividad de ataque demuestra una vez más la persistencia del actor de amenazas y su capacidad para evolucionar sus tácticas y montar ataques de varias etapas con el objetivo de comprometer los entornos Docker y alistarlos en un Docker Swarm.
Además de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se observó que TeamTNT ofrecía la potencia informática de las víctimas a otras partes para la extracción ilícita de criptomonedas, diversificando así su estrategia de monetización.
Los rumores sobre la campaña de ataque surgieron a principios de este mes cuando Datadog reveló intentos maliciosos de agrupar instancias de Docker infectadas en un Docker Swarm, insinuando que podría ser trabajo de TeamTNT, pero no estableció una atribución formal. Pero hasta ahora no estaba clara la magnitud de la operación.
Morag dijo a The Hacker News que Datadog «encontró la infraestructura muy pronto» y su descubrimiento «obligó al actor de amenazas a cambiar un poco su campaña».
Los ataques implican identificar puntos finales de Docker API expuestos y no autenticados utilizando Masscan y ZGrab, usarlos para la implementación de criptomineros y vender la infraestructura comprometida a terceros en una plataforma de alquiler de minería llamada Mining Rig Rentals, que elimina la necesidad de administrarlos ellos mismos, un firmar. de la maduración del modelo económico ilícito.
Específicamente, esto se logra a través de un script de ataque que busca demonios Docker en los puertos 2375, 2376, 4243 y 4244 en casi 16,7 millones de direcciones IP. Luego implementa un contenedor que ejecuta una imagen de Alpine Linux con comandos maliciosos.
La imagen, recuperada de una cuenta comprometida de Docker Hub («nmlm99») bajo su control, también ejecuta un script de shell inicial llamado Docker Gatling Gun («TDGGinit.sh») para iniciar actividades posteriores a la explotación.
Un cambio notable observado por Aqua es el paso de la puerta trasera Tsunami al marco de comando y control (C2) de código abierto Sliver para controlar de forma remota los servidores infectados.
«Además, TeamTNT continúa usando sus convenciones de nomenclatura establecidas, como Chimaera, TDGG y bioset (para operaciones C2), lo que refuerza la idea de que esta es una campaña clásica de TeamTNT», dijo Morag.
«En esta campaña, TeamTNT también utiliza anondns (AnonDNS o DNS anónimo es un concepto o servicio diseñado para proporcionar anonimato y privacidad al resolver consultas de DNS), para apuntar a su servidor web».
Estos resultados se producen cuando Trend Micro destaca una nueva campaña que involucra un ataque de fuerza bruta dirigido contra un cliente anónimo para suministrar la botnet de minería de criptomonedas Prometei.
«Prometei se propaga en el sistema explotando vulnerabilidades en el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB)», afirma la empresa. dichodestacando los esfuerzos de los malos actores para establecer persistencia, evadir herramientas de seguridad y obtener un acceso más profundo a la red de una organización a través del volcado de credenciales y el movimiento lateral.
«Las máquinas afectadas se conectan a un servidor de grupo de minería que puede usarse para extraer criptomonedas (Monero) en máquinas comprometidas sin el conocimiento de la víctima».
