Az új TeamTNT cryptojacking kampány célpontjai a CentOS szerverek
A TeamTNT néven ismert cryptojacking művelet valószínűleg egy új kampány részeként bukkant fel újra, amely a CentOS operációs rendszeren alapuló Virtual Private Server (VPS) infrastruktúrákat veszi célba. „A kezdeti hozzáférést az áldozat eszközei ellen Secure Shell (SSH) brute force támadással érik el, amelynek során a fenyegető szereplő egy rosszindulatú szkriptet töltött fel” – írják Vito Alfano és Nam Le Phuong, a Group-IB kutatói egy 2024. szeptember 18-i jelentésben.
A rosszindulatú szkript felelős a biztonsági funkciók letiltásáért, a naplók törléséért, a kriptovaluta-bányászati folyamatok leállításáért és a helyreállítási erőfeszítések gátlásáért. A támadási láncok végül megnyitják az utat a Diamorphine rootkit telepítése előtt, amely elrejti a rosszindulatú folyamatokat, miközben tartós távoli hozzáférést is létrehoz a megtámadott állomáshoz. A kampányt a TeamTNT-nek tulajdonították mérsékelt bizalommal, a megfigyelt taktikák, technikák és eljárások (TTP-k) hasonlóságára hivatkozva. A TeamTNT-t először 2019-ben fedezték fel, és illegális kriptopénz-bányászati tevékenységeket végzett felhő- és konténerkörnyezetekbe való beszivárgással. Bár a csoport 2021 novemberében „tiszta kilépést” bejelentve búcsúzott, a nyilvános jelentések 2022 szeptembere óta több, a hackercsapat által vállalt kampányt is feltártak.
A csoporthoz kapcsolódó legutóbbi tevékenység egy shell script formájában jelentkezik, amely először ellenőrzi, hogy a készüléket korábban megfertőzték-e más cryptojacking műveletek, majd a SELinux, az AppArmor és a tűzfal letiltásával rontja az eszköz biztonságát. „A szkript az Alibaba felhőszolgáltatóhoz kapcsolódó, aliyun.service nevű démont keresi” – mondták a kutatók. „Ha ezt a daemont észleli, letölti az update.aegis.aliyun.com oldalról a szolgáltatás eltávolításához szükséges bash-szkriptet.” A szkript az összes konkurens kriptovaluta-bányászati folyamat leállítása mellett egy sor olyan parancsot hajt végre, amelyekkel eltávolítja a többi bányász által hagyott nyomokat és megszünteti a konténeres folyamatokat.
