Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con rootkit
  • Tecnología

Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con rootkit

teknomers 19 de Eylül de 2024 (Last updated: 19 de Eylül de 2024) 3 minutes read
Nueva campaña de criptojacking de TeamTNT ataca servidores CentOS con


19 de septiembre de 2024Ravie LakshmananCriptominería / Seguridad en la nube

La operación de cryptojacking conocida como Equipo TNT Es probable que haya resurgido como parte de una nueva campaña dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS.

“El acceso inicial se logró a través de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso”, dijeron los investigadores del Grupo IB Vito Alfano y Nam Le Phuong. dicho en un informe del miércoles.

El script malicioso, señaló la empresa de ciberseguridad de Singapur, es responsable de deshabilitar funciones de seguridad, eliminar registros, finalizar procesos de minería de criptomonedas e inhibir los esfuerzos de recuperación.

Las cadenas de ataque finalmente allanan el camino para la implementación del rootkit Diamorphine para ocultar procesos maliciosos y, al mismo tiempo, configurar un acceso remoto persistente al host comprometido.

La campaña ha sido atribuida a TeamTNT con moderada confianza, citando similitudes en las tácticas, técnicas y procedimientos (TTP) observados.

Ciberseguridad

TeamTNT fue descubierto por primera vez en 2019, realizando actividades ilícitas de minería de criptomonedas infiltrándose en entornos de nube y contenedores. Si bien el actor de amenazas se despidió en noviembre de 2021 al anunciar un “abandono definitivo”, los informes públicos han descubierto varias campañas llevadas a cabo por el equipo de piratas informáticos desde septiembre de 2022.

La última actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, después de lo cual procede a perjudicar la seguridad del dispositivo desactivándolo. SELinuxAppArmor y el firewall.

Cambios implementados en el servicio ssh

“El script busca un demonio relacionado con el proveedor de la nube Alibaba, llamado aliyun.service”, dijeron los investigadores. “Si detecta este demonio, descarga un script bash desde update.aegis.aliyun.com para desinstalar el servicio”.

Además de matar todos los procesos de minería de criptomonedas en competencia, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las imágenes implementadas en conexión con cualquier minero de monedas.

Además, establece persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificar el archivo “/root/.ssh/authorized_keys” para agregar una cuenta de puerta trasera.

“Bloquea el sistema modificando los atributos de los archivos, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades”, señalaron los investigadores. “El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuración del servicio SSH y del firewall”.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Los rockeros de Limburgo convierten Afas Live en un castillo de cuento de hadas: no se ha reparado en gastos
Next: 5 tendencias de color de cabello para el otoño de 2024

Related Stories

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026
La Autoridad de la Competencia señala el dominio de OpenAI,
  • Tecnología

La Autoridad de la Competencia señala el dominio de OpenAI, Anthropic y Google sobre los agentes de IA

teknomers 18 de Temmuz de 2026
Microsoft Teams creará por defecto una memoria IA de tus
  • Tecnología

Microsoft Teams creará por defecto una memoria IA de tus reuniones para ayudar a Copilot a responder a tus preguntas.

teknomers 18 de Temmuz de 2026

You May Have Missed

  • General

Lista de lugares adicionales como ‘en peligro’ por conflicto o cambio climático

teknomers 18 de Temmuz de 2026
Steph Curry, Djokovic, Messi y el selfie culto… el resumen
  • Deporte

Steph Curry, Djokovic, Messi y el selfie culto… el resumen del increíble show de la conferencia de prensa antes de la final España-Argentina.

teknomers 18 de Temmuz de 2026
  • Cultura

« El mayor público de la historia de todos los conciertos »: BTS arrasa en el Stade de France en su regreso a Francia

teknomers 18 de Temmuz de 2026
Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil
  • Tecnología

Prueba Midea PortaSplit: nuestra opinión sobre este aire acondicionado portátil que arrasa

teknomers 18 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.