El infame grupo de criptojacking conocido como TeamTNT parece estar preparándose para una nueva campaña a gran escala dirigida a entornos nativos de la nube para extraer criptomonedas y alquilar servidores pirateados a terceros.
“Actualmente, el grupo está apuntando a demonios Docker expuestos para implementar malware Sliver, un gusano cibernético y criptomineros, utilizando servidores comprometidos y Docker Hub como infraestructura para difundir su malware”, Assaf Morag, director de inteligencia de amenazas de la firma de seguridad en la nube Aqua, dicho en un informe publicado el viernes.
La actividad de ataque es una vez más un testimonio de la persistencia del actor de amenazas y su capacidad para evolucionar sus tácticas y montar ataques de múltiples etapas con el objetivo de comprometer los entornos Docker y alistarlos en un Docker Swarm.
Además de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se ha observado que TeamTNT ofrece el poder computacional de las víctimas a otras partes para la minería ilícita de criptomonedas, diversificando su estrategia de monetización.
Los rumores sobre la campaña de ataque surgieron a principios de este mes cuando Datadog reveló intentos maliciosos de acorralar instancias de Docker infectadas en un Docker Swarm, aludiendo que podría ser trabajo de TeamTNT, sin llegar a hacer una atribución formal. Pero hasta ahora no ha quedado claro el alcance total de la operación.
Morag dijo a The Hacker News que Datadog “encontró la infraestructura en una etapa muy temprana” y que su descubrimiento “obligó al actor de amenazas a cambiar un poco la campaña”.
Los ataques implican identificar puntos finales de Docker API expuestos y no autenticados usando Masscan y ZGrab y usarlos para la implementación de criptomineros y vender la infraestructura comprometida a otros en una plataforma de alquiler de minería llamada Mining Rig Rentals, descargando efectivamente el trabajo de tener que administrarlos ellos mismos, una señal de la maduración del modelo de negocio ilícito.
Específicamente, esto se lleva a cabo mediante un script de ataque que busca demonios Docker en los puertos 2375, 2376, 4243 y 4244 en casi 16,7 millones de direcciones IP. Posteriormente, implementa un contenedor que ejecuta una imagen de Alpine Linux con comandos maliciosos.
La imagen, recuperada de una cuenta de Docker Hub comprometida (“nmlm99”) bajo su control, también ejecuta un script de shell inicial llamado Docker Gatling Gun (“TDGGinit.sh”) para iniciar actividades posteriores a la explotación.
Un cambio notable observado por Aqua es el cambio de la puerta trasera Tsunami al marco de comando y control (C2) de código abierto Sliver para controlar de forma remota los servidores infectados.
“Además, TeamTNT continúa usando sus convenciones de nomenclatura establecidas, como Chimaera, TDGG y bioset (para operaciones C2), lo que refuerza la idea de que esta es una campaña clásica de TeamTNT”, dijo Morag.
“En esta campaña, TeamTNT también utiliza anondns (AnonDNS o DNS anónimo es un concepto o servicio diseñado para proporcionar anonimato y privacidad al resolver consultas de DNS), para apuntar a su servidor web”.
Los hallazgos se producen cuando Trend Micro arroja luz sobre una nueva campaña que involucró un ataque de fuerza bruta dirigido contra un cliente anónimo para entregar la botnet de criptominería Prometei.
“Prometei se propaga en el sistema explotando vulnerabilidades en el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB)”, afirma la empresa. dichodestacando los esfuerzos del actor de amenazas para establecer la persistencia, evadir las herramientas de seguridad y obtener un acceso más profundo a la red de una organización a través del volcado de credenciales y el movimiento lateral.
“Las máquinas afectadas se conectan a un servidor de grupo de minería que puede usarse para extraer criptomonedas (Monero) en máquinas comprometidas sin el conocimiento de la víctima”.