本文详细介绍了臭名昭著的黑客组织 TeamTNT 利用暴露的 Docker 守护进程部署恶意软件的新活动,他们利用被入侵的服务器和 Docker Hub 散布攻击。他们还利用加密挖掘从受害者的计算能力中赚钱。
Aqua Nautilus 的网络安全研究人员发现了一个由 Adept Libra(又名 TeamTNT)发起的新的黑客攻击活动,他们利用暴露的 Docker 守护进程部署 Sliver 恶意软件、网络蠕虫和加密货币。
TeamTNT 是一个臭名昭著的黑客组织,以对云原生环境发动侵略性和持续性攻击而闻名。该组织以利用 Docker 守护进程和 Kubernetes 集群的漏洞部署恶意软件和劫持资源进行加密货币挖矿而闻名。
在最近的一次活动中,TeamTNT 入侵了一个合法的 Docker Hub 账户(nmlm99)来托管恶意软件,上传了大约 30 个分为两类的镜像:基础设施和影响。基础架构镜像用于传播恶意软件,而影响镜像则侧重于挖掘加密货币或出租计算能力。
攻击流程和 TeamTNT 的签名
TeamTNT 使用 Docker Gatling Gun 扫描大量 IP 地址(约 1670 万),查找运行在特定端口(2375、2376、4243 和 4244)上的 Docker 守护进程中的漏洞。如果发现漏洞,就会部署一个来自受攻击的 TeamTNT Docker Hub 账户的容器,运行最小化的 Alpine Linux 操作系统,并执行名为 “TDGGinit.sh ”的恶意脚本。该脚本很可能为被入侵系统上的进一步恶意活动埋下伏笔。
“TeamTNT 在本地搜索密钥和凭证,如 SSH、云元数据服务器调用等。一旦获得访问权限,他们就会通过这些账户存储和传播恶意软件。”
为了逃避检测,TeamTNT 使用了 Sliver 恶意软件,这是一种比以前的工具 Tsunami 更先进、更隐蔽的工具。他们还使用 Chimaera 和 Bioset 等耳熟能详的名称来混入合法进程。此外,它们还会窃取凭证并扫描网络以寻找更多目标。
TeamTNT 依靠网络服务器、Docker Hub 和各种通信协议(如 DNS、mTLS 和潜在的代理)进行指挥和控制。最终,他们的目标是劫持资源用于加密货币挖矿或出售被入侵系统的访问权限。
为了挖掘 Monero 等加密货币,TeamTNT 使用了各种挖矿软件,包括 XMRig、T-Rex、CGMiner、BFGMiner 和 SGMiner。他们经常通过针对特定硬件和软件配置来优化挖矿操作。
这一活动显示了 TeamTNT 的适应和发展能力,敦促各组织提高警惕并升级网络安全。该组织技术娴熟,积极主动,不怕冒险。为防范 TeamTNT 风险,组织必须投资于强大的安全实践,包括软件更新和网络基础设施安全。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容