O grupo de criptomineração ilegal conhecido como TeamTNT parece estar se preparando para uma nova campanha em larga escala, visando ambientes em nuvem para minerar criptomoedas e alugar servidores comprometidos a terceiros.
“O grupo está atualmente mirando daemons Docker expostos para implantar o malware Sliver, um worm cibernético, e mineradores de criptomoedas, usando servidores comprometidos e o Docker Hub como infraestrutura para espalhar seus malwares,” afirmou Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua, em um relatório publicado na sexta-feira.
As atividades de ataque evidenciam a persistência desse grupo de ameaças e sua capacidade de evoluir táticas, montando ataques em múltiplas etapas para comprometer ambientes Docker e recrutá-los para um Docker Swarm.
Além de usar o Docker Hub para hospedar e distribuir seus pacotes maliciosos, o TeamTNT foi observado oferecendo o poder computacional das vítimas a outros grupos para mineração de criptomoedas, diversificando assim sua estratégia de monetização ilícita.
Os primeiros sinais da campanha de ataque surgiram no início deste mês, quando a Datadog revelou tentativas maliciosas de agrupar instâncias Docker infectadas em um Docker Swarm, sugerindo a possibilidade de ser obra do TeamTNT, mas sem uma atribuição formal. No entanto, a extensão completa da operação só agora ficou clara.
Morag informou ao Hacker News que a Datadog "encontrou a infraestrutura ainda em um estágio muito inicial" e que sua descoberta "forçou o grupo de ameaças a alterar a campanha."
Os ataques envolvem a identificação de endpoints de API Docker expostos e não autenticados usando ferramentas como masscan e ZGrab, permitindo o uso dessas instâncias para a implantação de mineradores de criptomoedas e a venda dessa infraestrutura comprometida a outros usuários em uma plataforma de aluguel chamada Mining Rig Rentals, o que indica a maturidade do modelo de negócios ilícito do grupo.
Especificamente, isso é executado por meio de um script de ataque que escaneia daemons Docker nas portas 2375, 2376, 4243 e 4244 em cerca de 16,7 milhões de endereços IP. Em seguida, ele implanta um contêiner executando uma imagem do Alpine Linux com comandos maliciosos.
A imagem, retirada de uma conta comprometida do Docker Hub ("nmlm99") sob o controle do grupo, também executa um script inicial chamado Docker Gatling Gun ("TDGGinit.sh") para iniciar atividades de pós-exploração.
Uma mudança significativa observada pela Aqua foi a substituição do backdoor Tsunami pelo framework de comando e controle (C2) de código aberto Sliver, usado para controlar remotamente os servidores infectados.
"Além disso, o TeamTNT continua usando suas convenções de nomenclatura conhecidas, como Chimaera, TDGG e bioset (para operações de C2), o que reforça a ideia de que esta é uma campanha clássica do TeamTNT", explicou Morag.
"Nesta campanha, o TeamTNT também está utilizando o anondns (AnonDNS ou DNS Anônimo é um conceito ou serviço projetado para oferecer anonimato e privacidade na resolução de consultas DNS), apontando para seu servidor web."
As descobertas ocorrem no momento em que a Trend Micro lança luz sobre uma nova campanha envolvendo um ataque de força bruta direcionado a um cliente não identificado para implantar o botnet de mineração de criptomoedas Prometei.
"O Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) e no Server Message Block (SMB)", informou a empresa, destacando os esforços do grupo para estabelecer persistência, evitar ferramentas de segurança e obter acesso profundo à rede de uma organização através da extração de credenciais e movimento lateral.
"As máquinas afetadas se conectam a um servidor de pool de mineração que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas, sem o conhecimento da vítima."
Via - THN
Comments