TeamTNT cloud támadás kriptobányászat céljából
A TeamTNT néven ismert hírhedt cryptojacking csoport új nagyszabású kampányra készül, amely a felhőalapú környezeteket célozza meg kriptovaluták bányászatára és a kompromittált szerverek bérbeadására harmadik feleknek. A csoport jelenleg a nyílt Docker daemonokat veszi célba a Sliver malware, egy féreg és kriptominerek telepítéséhez, a kompromittált szervereket és a Docker Hubot használják infrastruktúraként a malware terjesztéséhez – mondta Assaf Morag, az Aqua felhőbiztonsági cég fenyegetéselemzési igazgatója egy 2024. október 25-én közzétett jelentésben.
Amellett, hogy a TeamTNT a Docker Hubot használja a rosszindulatú hasznos terhelések tárolására és terjesztésére, megfigyelték, hogy az áldozatok számítási teljesítményét más feleknek kínálja fel illegális kriptopénz-bányászathoz, diverzifikálva ezzel a pénzszerzési stratégiáját. A támadási kampányról szóló híresztelések e hónap elején jelentek meg, amikor a Datadog nyilvánosságra hozta a fertőzött Docker-példányok Docker Swarmba való tömörítésére irányuló rosszindulatú kísérleteket, utalva arra, hogy ez a TeamTNT munkája lehet.
A támadások során a kiberszereplő azonosítja a nem hitelesített és kitett Docker API végpontokat a masscan és a ZGrab segítségével, és ezeket kriptominer telepítésre használják, és a kompromittált infrastruktúrát másoknak adják el a Mining Rig Rentals nevű bányászati bérleti platformon. Ezt egy olyan támadási szkript segítségével hajtják végre, amely közel 16,7 millió IP-címen keresi a Docker daemonokat a 2375, 2376, 4243 és 4244-es portokon. Ezt követően egy Alpine Linux-képet futtató konténert telepít rosszindulatú parancsokkal. Az irányításuk alatt álló, kompromittált Docker Hub fiókból („nmlm99”) letöltött image egy Docker Gatling Gun nevű kezdeti shell szkriptet („TDGGinit.sh”) is futtat a post-exploitation tevékenységek elindításához. Az Aqua által megfigyelt egyik figyelemre méltó változás, hogy a Tsunami backdoor-ról a nyílt forráskódú Sliver C2 keretrendszert használják a fertőzött szerverek távoli irányítására.
