O notório grupo de cryptojacking conhecido como TeamTNT parece estar se preparando para uma nova campanha de grande escala, mirando ambientes nativos da nuvem para mineração de criptomoedas e aluguel de servidores violados a terceiros.
"O grupo atualmente está mirando em daemons Docker expostos para implantar malware Sliver, um cyber worm, e cryptominers, usando servidores comprometidos e Docker Hub como infraestrutura para espalhar seu malware", disse Assaf Morag, diretor de inteligência de ameaças na firma de segurança em nuvem Aqua, em um relatório publicado na sexta-feira.
A atividade de ataque é mais uma vez um testemunho da persistência do ator de ameaça e de sua habilidade em evoluir suas táticas, realizando assaltos em múltiplas etapas com o objetivo de comprometer ambientes Docker e alistá-los em um Docker Swarm.
Além de usar o Docker Hub para hospedar e distribuir seus payloads maliciosos, o TeamTNT foi observado oferecendo a capacidade computacional das vítimas a outras partes para mineração ilícita de criptomoedas, diversificando sua estratégia de monetização.
Rumores da campanha de ataque surgiram no início deste mês, quando a Datadog divulgou tentativas maliciosas de reunir instâncias Docker infectadas em um Docker Swarm, aludindo que poderia ser trabalho do TeamTNT, embora tenha parado antes de fazer uma atribuição formal.
Mas a extensão completa da operação não havia sido esclarecida, até agora.
Morag informou ao The Hacker News que a Datadog "encontrou a infraestrutura em um estágio muito inicial" e que a descoberta "forçou o ator de ameaça a mudar um pouco a campanha."
Os ataques envolvem identificar endpoints da API Docker não autenticados e expostos usando masscan e ZGrab e usá-los para a implantação de cryptominer e venda da infraestrutura comprometida para outros em uma plataforma de aluguel de mineração chamada Mining Rig Rentals, efetivamente descarregando o trabalho de ter que gerenciá-los.
Especificamente, isso é realizado por meio de um script de ataque que escaneia por daemons Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP.
Subsequentemente, ele implanta um contêiner executando uma imagem Alpine Linux com comandos maliciosos.
A imagem, recuperada de uma conta comprometida do Docker Hub ("nmlm99") sob seu controle, também executa um script shell inicial nomeado Docker Gatling Gun ("TDGGinit.sh") para lançar atividades pós-exploração.
Uma mudança notável observada pela Aqua é a transição do backdoor Tsunami para o framework de comando e controle (C2) Sliver de código aberto para comandar remotamente os servidores infectados.
"Além disso, o TeamTNT continua usando suas convenções de nomenclatura estabelecidas, como Chimaera, TDGG e bioset (para operações C2), o que reforça a ideia de que esta é uma campanha clássica do TeamTNT", disse Morag.
Nesta campanha, o TeamTNT também está usando anondns (AnonDNS ou DNS Anônimo é um conceito ou serviço projetado para fornecer anonimato e privacidade ao resolver consultas DNS), a fim de apontar para o seu servidor web. Os achados surgem à medida que a Trend Micro lança luz sobre uma nova campanha que envolveu um ataque de força bruta direcionado contra um cliente não nomeado para entregar o botnet de mineração de criptomoedas Prometei.
"Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) e no Bloco de Mensagem do Servidor (SMB)", disse a empresa, destacando os esforços do ator de ameaça em estabelecer persistência, evadir ferramentas de segurança e ganhar acesso mais profundo à rede da organização por meio de dumping de credenciais e movimento lateral.
As máquinas afetadas conectam-se a um servidor de pool de mineração que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas sem o conhecimento da vítima.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...