{"id":1368212,"date":"2024-09-19T22:02:23","date_gmt":"2024-09-19T22:02:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-campana-de-criptojacking-de-teamtnt-ataca-servidores-centos-con-rootkit\/"},"modified":"2024-09-19T22:02:28","modified_gmt":"2024-09-19T22:02:28","slug":"nueva-campana-de-criptojacking-de-teamtnt-ataca-servidores-centos-con-rootkit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-campana-de-criptojacking-de-teamtnt-ataca-servidores-centos-con-rootkit\/","title":{"rendered":"Nueva campa\u00f1a de criptojacking de TeamTNT ataca servidores CentOS con rootkit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Criptominer\u00eda \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Nueva-campana-de-criptojacking-de-TeamTNT-ataca-servidores-CentOS-con.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>La operaci\u00f3n de cryptojacking conocida como <strong>Equipo TNT<\/strong> Es probable que haya resurgido como parte de una nueva campa\u00f1a dirigida a las infraestructuras de servidores privados virtuales (VPS) basadas en el sistema operativo CentOS.<\/p>\n<p>&#8220;El acceso inicial se logr\u00f3 a trav\u00e9s de un ataque de fuerza bruta de Secure Shell (SSH) a los activos de la v\u00edctima, durante el cual el actor de la amenaza carg\u00f3 un script malicioso&#8221;, dijeron los investigadores del Grupo IB Vito Alfano y Nam Le Phuong. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/teamtnt\/\" target=\"_blank\">dicho<\/a> en un informe del mi\u00e9rcoles.<\/p>\n<p>El script malicioso, se\u00f1al\u00f3 la empresa de ciberseguridad de Singapur, es responsable de deshabilitar funciones de seguridad, eliminar registros, finalizar procesos de miner\u00eda de criptomonedas e inhibir los esfuerzos de recuperaci\u00f3n.<\/p>\n<p>Las cadenas de ataque finalmente allanan el camino para la implementaci\u00f3n del rootkit Diamorphine para ocultar procesos maliciosos y, al mismo tiempo, configurar un acceso remoto persistente al host comprometido.<\/p>\n<p>La campa\u00f1a ha sido atribuida a TeamTNT con moderada confianza, citando similitudes en las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) observados.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>TeamTNT fue descubierto por primera vez en 2019, realizando actividades il\u00edcitas de miner\u00eda de criptomonedas infiltr\u00e1ndose en entornos de nube y contenedores. Si bien el actor de amenazas se despidi\u00f3 en noviembre de 2021 al anunciar un &#8220;abandono definitivo&#8221;, los informes p\u00fablicos han descubierto varias campa\u00f1as llevadas a cabo por el equipo de piratas inform\u00e1ticos desde septiembre de 2022.<\/p>\n<p>La \u00faltima actividad vinculada al grupo se manifiesta en forma de un script de shell que primero verifica si fue infectado previamente por otras operaciones de cryptojacking, despu\u00e9s de lo cual procede a perjudicar la seguridad del dispositivo desactiv\u00e1ndolo. <a rel=\"nofollow noopener\" href=\"https:\/\/github.blog\/2023-07-05-introduction-to-selinux\/\" target=\"_blank\">SELinux<\/a>AppArmor y el firewall.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726783343_488_Nueva-campana-de-criptojacking-de-TeamTNT-ataca-servidores-CentOS-con.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1726783343_488_Nueva-campana-de-criptojacking-de-TeamTNT-ataca-servidores-CentOS-con.png\" alt=\"\" border=\"0\" data-original-height=\"866\" data-original-width=\"1430\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Cambios implementados en el servicio ssh<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&#8220;El script busca un demonio relacionado con el proveedor de la nube Alibaba, llamado aliyun.service&#8221;, dijeron los investigadores. &#8220;Si detecta este demonio, descarga un script bash desde update.aegis.aliyun.com para desinstalar el servicio&#8221;.<\/p>\n<p>Adem\u00e1s de matar todos los procesos de miner\u00eda de criptomonedas en competencia, el script toma medidas para ejecutar una serie de comandos para eliminar los rastros dejados por otros mineros, finalizar los procesos en contenedores y eliminar las im\u00e1genes implementadas en conexi\u00f3n con cualquier minero de monedas.<\/p>\n<p>Adem\u00e1s, establece persistencia configurando trabajos cron que descargan el script de shell cada 30 minutos desde un servidor remoto (65.108.48[.]150) y modificar el archivo &#8220;\/root\/.ssh\/authorized_keys&#8221; para agregar una cuenta de puerta trasera.<\/p>\n<p>&#8220;Bloquea el sistema modificando los atributos de los archivos, creando un usuario de puerta trasera con acceso root y borrando el historial de comandos para ocultar sus actividades&#8221;, se\u00f1alaron los investigadores. &#8220;El actor de la amenaza no deja nada al azar; de hecho, el script implementa varios cambios dentro de la configuraci\u00f3n del servicio SSH y del firewall&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/new-teamtnt-cryptojacking-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 de septiembre de 2024\ue804Ravie LakshmananCriptominer\u00eda \/ Seguridad en la nube La operaci\u00f3n de cryptojacking conocida como Equipo<\/p>\n","protected":false},"author":1,"featured_media":1368213,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,3372,254257,4664,99,152848,4667,239182,4654,239508,4658,4659,4653,212,30407,246983,4665,246984,7982,152847,246982,239484],"class_list":["post-1368212","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-campana","tag-centos","tag-como-hackear","tag-con","tag-criptojacking","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nueva","tag-rootkit","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-servidores","tag-teamtnt","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1368212","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1368212"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1368212\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1368213"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1368212"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1368212"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1368212"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}