O notório grupo de cryptojacking TeamTNT está preparando uma nova campanha em larga escala voltada para ambientes nativos da nuvem para minerar criptomoedas e alugar servidores comprometidos para terceiros.
“A TeamTNT está atualmente explorando daemons Docker expostos para implantar o malware Sliver, um worm cibernético e cryptominers, aproveitando servidores comprometidos e o Docker Hub como infraestrutura para espalhar seu malware”, relatou Assaf Morag, diretor de inteligência de ameaças da Aqua Security, em um relatório publicado na sexta-feira.
Esta atividade ressalta a persistência da TeamTNT e suas táticas em evolução na execução de ataques em vários estágios, com o objetivo de comprometer ambientes Docker e alistá-los em um Docker Swarm.
Além de usar o Docker Hub para hospedar e distribuir payloads maliciosos, a TeamTNT também foi observada vendendo recursos computacionais das vítimas a terceiros para mineração de criptomoedas, expandindo seus esforços de monetização.
Indícios desta campanha surgiram no início deste mês quando a Datadog identificou tentativas de vincular instâncias infectadas do Docker a um Docker Swarm, sugerindo envolvimento potencial da TeamTNT, mas evitando uma atribuição definitiva. No entanto, o escopo da operação ficou mais claro agora.
Morag disse ao The Hacker News que a Datadog “identificou a infraestrutura em uma fase inicial”, levando a TeamTNT a ajustar sua estratégia de campanha.
Esses ataques envolvem a varredura de endpoints de API do Docker não autenticados e expostos usando masscan e ZGrab para implantar criptomineradores e oferecer a infraestrutura comprometida para aluguel em uma plataforma de aluguel de mineração chamada Mining Rig Rentals, terceirizando efetivamente o gerenciamento de servidores.
A campanha inclui um script de ataque que varre daemons do Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP, implantando um contêiner com uma imagem Alpine Linux contendo comandos maliciosos.
A imagem Alpine, extraída de uma conta comprometida do Docker Hub (“nmlm99“) sob o controle da TeamTNT, também executa um script de shell inicial chamado Docker Gatling Gun (“TDGGinit.sh“) para iniciar a pós-exploração.
Aqua Security observou uma mudança notável nas táticas, com a TeamTNT migrando do backdoor Tsunami para a estrutura de comando e controle (C2) Sliver de código aberto para controlar remotamente servidores infectados.
“A TeamTNT continua a usar convenções de nomenclatura familiares como Chimaera, TDGG e bioset para operações C2, reforçando a assinatura de uma campanha TeamTNT”, disse Morag.
Além disso, nesta campanha, a TeamTNT emprega AnonDNS (DNS anônimo), uma solução de DNS focada em privacidade, para apontar para seu servidor de comando e controle.
Enquanto isso, a Trend Micro revelou uma nova campanha envolvendo um ataque de força bruta a uma organização não identificada, entregando o botnet de criptomineração Prometei.
“O Prometei se espalha explorando vulnerabilidades no Remote Desktop Protocol (RDP) e no Server Message Block (SMB)”, disse a empresa, observando o foco do invasor em estabelecer persistência, evitar detecção e melhorar o acesso à rede por meio de dumping de credenciais e movimento lateral.
As máquinas comprometidas então se conectam a um servidor de pool de mineração, permitindo a mineração de criptomoeda Monero em sistemas infectados sem o conhecimento da vítima.
Fonte: TheHackerNews
