El grupo de cryptojacking conocido como EquipoTNT se sospecha que está detrás de una cepa de malware no descubierta anteriormente que se usa para extraer criptomonedas Monero en sistemas comprometidos.
Eso es según Cado Security, que encontró el muestra después de que Sysdig detallara un ataque sofisticado conocido como SCARLETEEL dirigido a entornos en contenedores para, en última instancia, robar datos y software patentados.
Específicamente, la fase inicial de la cadena de ataque involucró el uso de un minero de criptomonedas, que la empresa de seguridad en la nube sospechó que se implementó como señuelo para ocultar la detección de exfiltración de datos.
El artefacto, subido a VirusTotal a fines del mes pasado, «oso[s] varias similitudes sintácticas y semánticas con las cargas útiles de TeamTNT anteriores, e incluye una identificación de billetera que se les ha atribuido anteriormente», ha revelado un nuevo análisis de Cado Security. reveló.
Se ha documentado que TeamTNT, activo desde al menos 2019, ataca repetidamente entornos de nube y contenedores para implementar mineros de criptomonedas. También se sabe que libera un gusano de criptominería capaz de robar las credenciales de AWS.
Si bien el actor de amenazas cerró voluntariamente sus operaciones en noviembre de 2021, la empresa de seguridad en la nube Aqua reveló en septiembre de 2022 un nuevo conjunto de ataques montados por el grupo dirigidos a instancias de Docker y Redis mal configuradas.
Dicho esto, también hay indicios de que tripulaciones rivales como Perro guardián podría estar imitando las tácticas, técnicas y procedimientos (TTP) de TeamTNT para frustrar los esfuerzos de atribución.
Otro grupo de actividades notable es Kiss-a-dog, que también se basa en herramientas e infraestructura de comando y control (C2) previamente asociada con TeamTNT para extraer criptomonedas.
No hay evidencia concreta para vincular el nuevo malware con el ataque SCARLETEEL. Pero Cado Security señaló que la muestra apareció casi al mismo tiempo que se informó este último, lo que plantea la posibilidad de que este podría ser el minero «señuelo» que se instaló.
El script de shell, por su parte, toma medidas preparatorias para reconfigurar límites estrictos de recursosevitar el registro del historial de comandos, aceptar todo el tráfico de entrada o salida, enumerar los recursos de hardware e incluso limpiar compromisos anteriores antes de comenzar la actividad.
Al igual que otros ataques vinculados a TeamTNT, la carga útil maliciosa también aprovecha una técnica denominada secuestro de enlazador dinámico para encubrir el proceso minero a través de un objeto compartido ejecutable llamado libprocesshider que usa el LD_PRECARGA Variable ambiental.
La persistencia se logra por tres medios diferentes, uno de los cuales modifica el archivo .perfilpara garantizar que el minero continúe ejecutándose durante los reinicios del sistema.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Los hallazgos se producen cuando se observó que otro grupo de criptomineros denominado 8220 Gang utiliza un encriptador llamado ScrubCrypt para llevar a cabo operaciones ilícitas de criptojacking.
Además, se han encontrado actores de amenazas desconocidos que apuntan a la infraestructura vulnerable del orquestador de contenedores de Kubernetes con API expuestas para extraer la criptomoneda Dero, lo que marca un cambio de Monero.
La compañía de seguridad cibernética Morphisec, el mes pasado, también arrojó luz sobre una campaña de malware evasivo que aprovecha las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange para lanzar una cepa de criptominero con nombre en código ProxyShellMiner.
«La minería de criptomonedas en la red de una organización puede provocar la degradación del rendimiento del sistema, un mayor consumo de energía, el sobrecalentamiento del equipo y puede detener los servicios», dijeron los investigadores. «Permite el acceso de los actores de amenazas para fines aún más nefastos».