A operação de cryptojacking conhecida como TeamTNT parece ter ressurgido como parte de uma nova campanha voltada para infraestruturas de Virtual Private Server (VPS) baseadas no sistema operacional CentOS.
"O acesso inicial foi realizado por meio de um ataque de força bruta Secure Shell (SSH) nos ativos da vítima, durante o qual o ator de ameaças enviou um script malicioso," disseram os pesquisadores da Group-IB, Vito Alfano e Nam Le Phuong, em um relatório de quarta-feira(18).
O script malicioso, como notou a empresa de cibersegurança de Singapura, é responsável por desativar funcionalidades de segurança, deletar logs, terminar processos de mineração de criptomoedas e inibir esforços de recuperação.
As cadeias de ataque abrem caminho para o deployment do rootkit Diamorphine para ocultar processos maliciosos, enquanto também configuram acesso remoto persistente ao host comprometido.
A campanha foi atribuída ao TeamTNT com confiança moderada, citando similaridades nas táticas, técnicas e procedimentos (TTPs) observados.
O TeamTNT foi descoberto pela primeira vez em 2019, realizando atividades ilícitas de mineração de criptomoedas infiltrando-se em ambientes de nuvem e contêiner.
Embora o ator de ameaças tenha se despedido em novembro de 2021, anunciando uma "saída limpa", reportagens públicas desvendaram várias campanhas realizadas pela equipe de hackers desde setembro de 2022.
A atividade mais recente ligada ao grupo se manifesta na forma de um shell script que primeiro verifica se já foi infectado por outras operações de cryptojacking, depois procede para comprometer a segurança do dispositivo desabilitando SELinux, AppArmor e o firewall.
Mudanças implementadas no serviço ssh "O script procura por um daemon relacionado ao provedor de nuvem Alibaba, chamado aliyun.service", disseram os pesquisadores.
Se ele detectar esse daemon, ele baixa um bash script de update.aegis.aliyun.com para desinstalar o serviço.
Além de matar todos os processos concorrentes de mineração de criptomoedas, o script executa uma série de comandos para remover rastros deixados por outros mineradores, terminar processos conteinerizados e remover imagens implantadas em conexão com quaisquer mineradores de moedas.
Além disso, ele estabelece persistência configurando cron jobs para baixar o shell script a cada 30 minutos de um servidor remoto (65.108.48[.]150) e modificando o arquivo "/root/.ssh/authorized_keys" para adicionar uma conta de backdoor.
"Ele bloqueia o sistema modificando atributos de arquivo, criando um usuário de backdoor com acesso root e apagando o histórico de comandos para ocultar suas atividades", observaram os pesquisadores.
O ator de ameaças não deixa nada ao acaso; de fato, o script implementa várias mudanças dentro da configuração do serviço SSH e do firewall.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...