臭名昭著的加密劫持组织 TeamTNT 似乎正准备发起一场新的大规模攻势,目标是在云原生环境中挖掘加密货币,并将被攻破的服务器出租给第三方。
云安全公司 Aqua 的威胁情报总监 Assaf Morag 在周五发布的一份报告中说:“该组织目前正以暴露的 Docker 守护进程为目标,部署 Sliver 恶意软件、网络蠕虫和加密矿机,利用被入侵的服务器和 Docker Hub 作为传播恶意软件的基础设施。”
该攻击活动再次证明了威胁行为者的持久性及其不断改进战术和发动多阶段攻击的能力,其目标是入侵 Docker 环境并将其纳入 Docker Swarm。
除了使用 Docker Hub 托管和分发恶意有效载荷外,据观察,TeamTNT 还将受害者的计算能力提供给其他方进行非法加密货币挖矿,使其货币化策略多样化。
本月早些时候,Datadog 披露了将受感染的 Docker 实例集中到 Docker Swarm 中的恶意尝试,暗指这可能是 TeamTNT 所为,但同时也没有做出正式归因。但直到现在,这一行动的全部范围还不清楚。
莫拉格告诉《黑客新闻》,Datadog “在非常早期的阶段就发现了基础设施”,他们的发现 “迫使威胁行为者稍微改变了一下活动”。
这些攻击需要使用masscan和ZGrab识别未经身份验证和暴露的Docker API端点,并将其用于加密矿机部署,然后在一个名为Mining Rig Rentals的挖矿租赁平台上将被攻陷的基础设施出售给他人,有效地卸载了必须自己管理的工作,这是非法商业模式成熟的标志。
具体来说,这是通过一个攻击脚本来实现的,该脚本会扫描近 1670 万个 IP 地址的 2375、2376、4243 和 4244 端口上的 Docker 守护进程。随后,它部署了一个运行带有恶意命令的 Alpine Linux 映像的容器。
该镜像是从其控制下的一个受攻击 Docker Hub 账户(“nmlm99”)中获取的,它还执行了一个名为 Docker Gatling Gun 的初始 shell 脚本(“TDGGinit.sh”),以启动后剥削活动。
Aqua 观察到的一个显著变化是从 Tsunami 后门转向开源的 Sliver 命令与控制(C2)框架,用于远程控制受感染的服务器。
莫拉格说:“此外,TeamTNT 继续使用其既定的命名惯例,如 Chimaera、TDGG 和 bioset(用于 C2 操作),这强化了这是一个典型的 TeamTNT 活动的想法。”
“在这次活动中,TeamTNT 还使用了 anondns(AnonDNS 或匿名 DNS 是一种概念或服务,旨在解决 DNS 查询时提供匿名性和隐私性),以便指向他们的网络服务器。”
在趋势科技公布这些发现的同时,还揭露了一个新的活动,该活动涉及对一个未具名客户进行有针对性的暴力破解攻击,以提供 Prometei 加密挖矿僵尸网络。
该公司表示:“Prometei 通过利用远程桌面协议(RDP)和服务器消息块(SMB)中的漏洞在系统中传播,”它强调了威胁行为者在设置持久性、逃避安全工具以及通过凭证转储和横向移动更深入地访问组织网络方面所做的努力。
“受影响的机器会连接到一个矿池服务器,该服务器可用于在受害者不知情的情况下在受影响的机器上挖掘加密货币(Monero)”。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容