O grupo de cryptojacking conhecido como TeamTNT é suspeito de estar por trás de uma cepa anteriormente não descoberta de malware usado para minerar criptomoeda Monero em sistemas comprometidos.
Isso é de acordo com a Cado Security, que encontrou a amostra depois que a Sysdig detalhou um sofisticado ataque conhecido como SCARLETEEL visando ambientes containerizados para, em última análise, roubar dados e software proprietários.
Especificamente, a fase inicial da cadeia de ataque envolveu o uso de um minerador de criptomoedas, que a empresa de segurança na nuvem suspeitava ser implantado como um disfarce para ocultar a detecção de exfiltração de dados.
O artefato - carregado no VirusTotal no final do mês passado - "apresenta várias semelhanças sintáticas e semânticas com payloads anteriores da TeamTNT e inclui um ID de carteira que anteriormente foi atribuído a eles", revelou uma nova análise da Cado Security.
A TeamTNT, ativa desde pelo menos 2019, foi documentada como repetidamente atacando ambientes de nuvem e container para implantar mineradores de criptomoedas.
Também é conhecida por liberar um worm de mineração de criptomoedas capaz de roubar credenciais da AWS.
Embora o grupo de ameaças tenha encerrado voluntariamente suas operações em novembro de 2021, a empresa de segurança na nuvem Aqua divulgou em setembro de 2022 um novo conjunto de ataques montados pelo grupo visando instâncias Docker e Redis mal configuradas.
Dito isso, também há indicações de que equipes rivais, como a WatchDog, podem estar imitando as táticas, técnicas e procedimentos (TTPs) da TeamTNT para frustrar os esforços de atribuição.
Outro cluster de atividades a ser observado é o Kiss-a-dog, que também depende de ferramentas e infraestrutura de controle de comando (C2) anteriormente associados à TeamTNT para minerar criptomoedas.
Não há evidências concretas para vincular o novo malware ao ataque SCARLETEEL.
Mas a Cado Security apontou que a amostra surgiu aproximadamente na mesma época em que o último foi relatado, levantando a possibilidade de que este possa ser o minerador "disfarce" que foi instalado.
O script de shell, por sua vez, toma medidas preparatórias para reconfigurar os limites rígidos de recursos, impedir o registro do histórico de comandos, aceitar todo o tráfego de entrada ou saída, enumerar recursos de hardware e até limpar comprometimentos anteriores antes de iniciar a atividade.
Como outros ataques associados à TeamTNT, a carga útil maliciosa também aproveita uma técnica referida como sequestro do linker dinâmico para ocultar o processo do minerador por meio de um executável de objeto compartilhado chamado libprocesshider que usa a variável de ambiente LD_PRELOAD.
A persistência é alcançada por três meios diferentes, um dos quais modifica o arquivo .profile para garantir que o minerador continue a ser executado após reinicializações do sistema.
Os resultados vêm à tona enquanto outro grupo de mineradores de criptomoedas chamado 8220 Gang foi observado usando um crypter chamado ScrubCrypt para realizar operações de cryptojacking ilícitas.
Além disso, atores de ameaças desconhecidos foram encontrados direcionando infraestrutura vulnerável de orquestração de contêineres Kubernetes com APIs expostas para minerar a criptomoeda Dero, marcando uma mudança do Monero.
A empresa de segurança cibernética Morphisec, no mês passado, também lançou luz sobre uma campanha maliciosa evasiva que aproveita as vulnerabilidades ProxyShell nos servidores Microsoft Exchange para deixar uma cepa de minerador de criptomoedas chamada ProxyShellMiner.
"A mineração de criptomoedas na rede de uma organização pode levar à degradação do desempenho do sistema, aumento do consumo de energia, superaquecimento do equipamento e pode interromper serviços", disseram os pesquisadores.
"Isso permite que atores de ameaças acessem fins ainda mais nefastos."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...