16 Mart 2023Ravie LakshmananCryptojacking / Siber Saldırı

Olarak bilinen cryptojacking grubu TakımTNT güvenliği ihlal edilmiş sistemlerde Monero kripto para madenciliği yapmak için kullanılan daha önce keşfedilmemiş bir kötü amaçlı yazılım türünün arkasında olduğundan şüpheleniliyor.

Bu, Cado Security’ye göre kurmak the örnek Sysdig, nihai olarak özel veri ve yazılımları çalmak için kapsayıcılı ortamları hedefleyen SCARLETEEL olarak bilinen karmaşık bir saldırıyı ayrıntılarıyla anlattıktan sonra.

Spesifik olarak, saldırı zincirinin ilk aşaması, bulut güvenlik firmasının veri hırsızlığının tespitini gizlemek için bir tuzak olarak konuşlandırıldığından şüphelendiği bir kripto para madencisinin kullanımını içeriyordu.

Geçen ayın sonlarında VirusTotal’a yüklenen eser – “ayı[s] Cado Security’den yapılan yeni bir analiz, önceki TeamTNT yükleriyle birkaç sözdizimsel ve anlamsal benzerliğe sahip olduğunu ve daha önce bunlara atfedilen bir cüzdan kimliğini içerdiğini söyledi. açıklığa kavuşmuş.

En az 2019’dan beri aktif olan TeamTNT’nin, kripto para madencilerini devreye almak için bulut ve konteyner ortamlarını defalarca vurduğu belgelendi. AWS kimlik bilgilerini çalabilen bir kripto madenciliği solucanını serbest bıraktığı da biliniyor.

Tehdit aktörü Kasım 2021’de isteyerek operasyonlarını kapatırken, bulut güvenlik şirketi Aqua, Eylül 2022’de grup tarafından yanlış yapılandırılmış Docker ve Redis örneklerini hedef alan yeni bir dizi saldırıyı açıkladı.

Bununla birlikte, rakip ekiplerin de olduğuna dair göstergeler var. bekçi köpeği ilişkilendirme çabalarını engellemek için TeamTNT’nin taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) taklit ediyor olabilir.

Dikkate değer başka bir etkinlik kümesi, kripto para birimi madenciliği yapmak için daha önce TeamTNT ile ilişkilendirilmiş araçlara ve komuta ve kontrol (C2) altyapısına dayanan Kiss-a-dog’dur.

Yeni kötü amaçlı yazılımı SCARLETEEL saldırısına bağlayacak somut bir kanıt yok. Ancak Cado Security, numunenin, ikincisinin bildirildiği sıralarda ortaya çıktığını ve bunun kurulan “tuzak” madenci olma olasılığını artırdığına dikkat çekti.

Kabuk betiği, kendi adına, yeniden yapılandırmak için hazırlık adımlarını gerçekleştirir. kaynak sabit sınırlarıkomut geçmişi günlüğünü önleyin, tüm giriş veya çıkış trafiğini kabul edin, donanım kaynaklarını numaralandırın ve hatta aktiviteye başlamadan önce önceki güvenlik ihlallerini temizleyin.

Diğer TeamTNT bağlantılı saldırılar gibi, kötü amaçlı yük de şu şekilde adlandırılan bir teknikten yararlanır: dinamik bağlayıcı kaçırma madenci sürecini paylaşılan bir nesne aracılığıyla gizlemek için yürütülebilir isminde libprocesshider kullanan LD_PRELOAD Çevre değişkeni.

Kalıcılık, üç farklı yolla elde edilir; bunlardan biri, .profil dosyasımadencinin sistem yeniden başlatmalarında çalışmaya devam etmesini sağlamak için.

WEBİNAR

Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin

Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.

KOLTUĞUNUZU AYIRTIN

Bulgular, 8220 Çetesi olarak adlandırılan başka bir kripto madenci grubunun, yasa dışı cryptojacking operasyonlarını gerçekleştirmek için ScrubCrypt adlı bir şifreleyici kullandığı gözlemlendiğinde ortaya çıktı.

Dahası, bilinmeyen tehdit aktörlerinin, Dero kripto para birimi madenciliği yapmak için açığa çıkan API’lerle savunmasız Kubernetes konteyner orkestratör altyapısını hedef alarak Monero’dan geçişi işaret ettiği bulundu.

Siber güvenlik şirketi Morphisec, geçen ay, Microsoft Exchange sunucularındaki ProxyShell güvenlik açıklarından yararlanarak kod adlı bir kripto madencisi suşunu bırakan kaçamak bir kötü amaçlı yazılım kampanyasına da ışık tuttu. ProxyShellMiner.

Araştırmacılar, “Bir kuruluşun ağında kripto para madenciliği yapmak, sistem performansının düşmesine, güç tüketiminin artmasına, ekipmanın aşırı ısınmasına neden olabilir ve hizmetleri durdurabilir” dedi. “Tehdit aktörlerinin daha da hain amaçlar için erişmesine izin veriyor.”



siber-2