Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con rootkit
  • Tecnología

Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con rootkit

teknomers 19 de Eylül de 2024 (Last updated: 19 de Eylül de 2024) 3 minutes read
Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con


19 de septiembre de 2024Ravie LakshmananCriptominería / Seguridad en la nube

La operación de cryptojacking conocida como Equipo TNT Es probable que haya resurgido como parte de una nueva campaña dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS.

“El acceso inicial se logró a través de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso”, dijeron los investigadores del Grupo IB Vito Alfano y Nam Le Phuong. dicho en un informe del miércoles.

El script malicioso, señaló la empresa de ciberseguridad de Singapur, es responsable de deshabilitar funciones de seguridad, eliminar registros, finalizar procesos de minería de criptomonedas e inhibir los esfuerzos de recuperación.

Las cadenas de ataque finalmente allanan el camino para la implementación del rootkit Diamorphine para ocultar procesos maliciosos y, al mismo tiempo, configurar un acceso remoto persistente al host comprometido.

La campaña ha sido atribuida a TeamTNT con moderada confianza, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados.

Ciberseguridad

TeamTNT fue descubierto por primera vez en 2019, realizando actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores. Si bien el actor de amenazas se despidió en noviembre de 2021 al anunciar un “abandono definitivo”, los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022.

La última actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, después de lo cual procede a perjudicar la seguridad del dispositivo desactivándolo. SELinuxAppArmor y el firewall.

Cambios implementados en el servicio ssh

“El script busca un demonio relacionado con el proveedor de la nube Alibaba, llamado aliyun.service”, dijeron los investigadores. “Si detecta este demonio, descarga un script bash desde update.aegis.aliyun.com para desinstalar el servicio”.

Además de matar todos los procesos de minería de criptomonedas en competencia, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las imágenes implementadas en conexión con cualquier minero de monedas.

Además, establece persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificar el archivo “/root/.ssh/authorized_keys” para agregar una cuenta de puerta trasera.

“Bloquea el sistema modificando los atributos de los archivos, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades”, señalaron los investigadores. “El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y del firewall”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los rockeros de Limburgo convierten Afas Live en un castillo de cuento de hadas: no se ha reparado en gastos
Next: 5 tendencias de color de cabello para el otoño de 2024

Related Stories

Tras su adquisición, Micromania responde a nuestras preguntas sobre el
  • Tecnología

Tras su adquisición, Micromania responde a nuestras preguntas sobre el empleo, el fin de los discos PlayStation y GameStop.

teknomers 18 de Temmuz de 2026
La Odisea en IMAX 70mm: los formatos de cine explicados
  • Tecnología

La Odisea en IMAX 70mm: los formatos de cine explicados

teknomers 18 de Temmuz de 2026
Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026

You May Have Missed

Tras su adquisición, Micromania responde a nuestras preguntas sobre el
  • Tecnología

Tras su adquisición, Micromania responde a nuestras preguntas sobre el empleo, el fin de los discos PlayStation y GameStop.

teknomers 18 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: ¿Cómo se comparan España y Argentina antes de la final?

teknomers 18 de Temmuz de 2026
REPORTAJE. "El objetivo siempre es respetar al animal que tenemos
  • salud

REPORTAJE. “El objetivo siempre es respetar al animal que tenemos delante”… Perros, gatos, caballos: apasionada por los seres vivos, Juliette es osteópata animal en Balma

teknomers 18 de Temmuz de 2026
Descontento por los incendios forestales que contaminan Estados Unidos, Trump
  • Entretenimiento

Descontento por los incendios forestales que contaminan Estados Unidos, Trump amenaza a Canadá con aranceles.

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.