臭名昭著的加密劫持组织 TeamTNT 似乎正准备发起一场新的大规模攻势,目标是在云原生环境中挖掘加密货币,并将被攻破的服务器出租给第三方。
云安全公司 Aqua 的威胁情报总监 Assaf Morag 在周五发布的一份报告中说:“该组织目前正以暴露的 Docker 守护进程为目标,部署 Sliver 恶意软件、网络蠕虫和加密矿机,利用被入侵的服务器和 Docker Hub 作为传播恶意软件的基础设施。”
该攻击活动再次证明了威胁行为者的持久性及其不断改进战术和发动多阶段攻击的能力,其目标是入侵 Docker 环境并将其纳入 Docker Swarm。
除了使用 Docker Hub 托管和分发恶意有效载荷外,据观察,TeamTNT 还将受害者的计算能力提供给其他方进行非法加密货币挖矿,使其货币化策略多样化。
本月早些时候,Datadog 披露了将受感染的 Docker 实例集中到 Docker Swarm 中的恶意尝试,暗指这可能是 TeamTNT 所为,但同时也没有做出正式归因。但直到现在,这一行动的全部范围还不清楚。
莫拉格告诉《黑客新闻》,Datadog “在非常早期的阶段就发现了基础设施”,他们的发现 “迫使威胁行为者稍微改变了一下活动”。
这些攻击需要使用masscan和ZGrab识别未经身份验证和暴露的Docker API端点,并将其用于加密矿机部署,然后在一个名为Mining Rig Rentals的挖矿租赁平台上将被攻陷的基础设施出售给他人,有效地卸载了必须自己管理的工作,这是非法商业模式成熟的标志。
具体来说,这是通过一个攻击脚本来实现的,该脚本会扫描近 1670 万个 IP 地址的 2375、2376、4243 和 4244 端口上的 Docker 守护进程。随后,它部署了一个运行带有恶意命令的 Alpine Linux 映像的容器。
该镜像是从其控制下的一个受攻击 Docker Hub 账户(“nmlm99”)中获取的,它还执行了一个名为 Docker Gatling Gun 的初始 shell 脚本(“TDGGinit.sh”),以启动后剥削活动。
Aqua 观察到的一个显著变化是从 Tsunami 后门转向开源的 Sliver 命令与控制(C2)框架,用于远程控制受感染的服务器。
莫拉格说:“此外,TeamTNT 继续使用其既定的命名惯例,如 Chimaera、TDGG 和 bioset(用于 C2 操作),这强化了这是一个典型的 TeamTNT 活动的想法。”
“在这次活动中,TeamTNT 还使用了 anondns(AnonDNS 或匿名 DNS 是一种概念或服务,旨在解决 DNS 查询时提供匿名性和隐私性),以便指向他们的网络服务器。”
在趋势科技公布这些发现的同时,还揭露了一个新的活动,该活动涉及对一个未具名客户进行有针对性的暴力破解攻击,以提供 Prometei 加密挖矿僵尸网络。
该公司表示:“Prometei 通过利用远程桌面协议(RDP)和服务器消息块(SMB)中的漏洞在系统中传播,”它强调了威胁行为者在设置持久性、逃避安全工具以及通过凭证转储和横向移动更深入地访问组织网络方面所做的努力。
“受影响的机器会连接到一个矿池服务器,该服务器可用于在受害者不知情的情况下在受影响的机器上挖掘加密货币(Monero)”。