{"id":1413785,"date":"2024-10-26T10:11:36","date_gmt":"2024-10-26T10:11:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-notorio-grupo-de-hackers-teamtnt-lanza-nuevos-ataques-en-la-nube-para-la-criptomineria\/"},"modified":"2024-10-26T10:11:41","modified_gmt":"2024-10-26T10:11:41","slug":"el-notorio-grupo-de-hackers-teamtnt-lanza-nuevos-ataques-en-la-nube-para-la-criptomineria","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-notorio-grupo-de-hackers-teamtnt-lanza-nuevos-ataques-en-la-nube-para-la-criptomineria\/","title":{"rendered":"El notorio grupo de hackers TeamTNT lanza nuevos ataques en la nube para la criptominer\u00eda"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 de octubre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad en la nube \/ Criptomoneda<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/El-notorio-grupo-de-hackers-TeamTNT-lanza-nuevos-ataques-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El infame grupo de criptojacking conocido como TeamTNT parece estar prepar\u00e1ndose para una nueva campa\u00f1a a gran escala dirigida a entornos nativos de la nube para extraer criptomonedas y alquilar servidores pirateados a terceros.<\/p>\n<p>&#8220;Actualmente, el grupo est\u00e1 apuntando a demonios Docker expuestos para implementar malware Sliver, un gusano cibern\u00e9tico y criptomineros, utilizando servidores comprometidos y Docker Hub como infraestructura para difundir su malware&#8221;, Assaf Morag, director de inteligencia de amenazas de la firma de seguridad en la nube Aqua, <a rel=\"nofollow noopener\" href=\"https:\/\/www.aquasec.com\/blog\/threat-alert-teamtnts-docker-gatling-gun-campaign\/\" target=\"_blank\">dicho<\/a> en un informe publicado el viernes.<\/p>\n<p>La actividad de ataque es una vez m\u00e1s un testimonio de la persistencia del actor de amenazas y su capacidad para evolucionar sus t\u00e1cticas y montar ataques de m\u00faltiples etapas con el objetivo de comprometer los entornos Docker y alistarlos en un Docker Swarm.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/saas-security-2024-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727895757_55_Aplicaciones-comerciales-falsas-se-dirigen-a-victimas-en-todo-el.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Adem\u00e1s de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se ha observado que TeamTNT ofrece el poder computacional de las v\u00edctimas a otras partes para la miner\u00eda il\u00edcita de criptomonedas, diversificando su estrategia de monetizaci\u00f3n.<\/p>\n<p>Los rumores sobre la campa\u00f1a de ataque surgieron a principios de este mes cuando Datadog revel\u00f3 intentos maliciosos de acorralar instancias de Docker infectadas en un Docker Swarm, aludiendo que podr\u00eda ser trabajo de TeamTNT, sin llegar a hacer una atribuci\u00f3n formal. Pero hasta ahora no ha quedado claro el alcance total de la operaci\u00f3n.<\/p>\n<p>Morag dijo a The Hacker News que Datadog &#8220;encontr\u00f3 la infraestructura en una etapa muy temprana&#8221; y que su descubrimiento &#8220;oblig\u00f3 al actor de amenazas a cambiar un poco la campa\u00f1a&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729937495_80_El-notorio-grupo-de-hackers-TeamTNT-lanza-nuevos-ataques-en.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1729937495_80_El-notorio-grupo-de-hackers-TeamTNT-lanza-nuevos-ataques-en.png\" alt=\"Ataques en la nube para criptominer\u00eda\" border=\"0\" data-original-height=\"1007\" data-original-width=\"1400\" title=\"Ataques en la nube para criptominer\u00eda\"\/><\/a><\/div>\n<p>Los ataques implican identificar puntos finales de Docker API expuestos y no autenticados usando Masscan y ZGrab y usarlos para la implementaci\u00f3n de criptomineros y vender la infraestructura comprometida a otros en una plataforma de alquiler de miner\u00eda llamada Mining Rig Rentals, descargando efectivamente el trabajo de tener que administrarlos ellos mismos, una se\u00f1al de la maduraci\u00f3n del modelo de negocio il\u00edcito.<\/p>\n<p>Espec\u00edficamente, esto se lleva a cabo mediante un script de ataque que busca demonios Docker en los puertos 2375, 2376, 4243 y 4244 en casi 16,7 millones de direcciones IP. Posteriormente, implementa un contenedor que ejecuta una imagen de Alpine Linux con comandos maliciosos.<\/p>\n<p>La imagen, recuperada de una cuenta de Docker Hub comprometida (&#8220;nmlm99&#8221;) bajo su control, tambi\u00e9n ejecuta un script de shell inicial llamado Docker Gatling Gun (&#8220;TDGGinit.sh&#8221;) para iniciar actividades posteriores a la explotaci\u00f3n.<\/p>\n<p>Un cambio notable observado por Aqua es el cambio de la puerta trasera Tsunami al marco de comando y control (C2) de c\u00f3digo abierto Sliver para controlar de forma remota los servidores infectados.<\/p>\n<p>&#8220;Adem\u00e1s, TeamTNT contin\u00faa usando sus convenciones de nomenclatura establecidas, como Chimaera, TDGG y bioset (para operaciones C2), lo que refuerza la idea de que esta es una campa\u00f1a cl\u00e1sica de TeamTNT&#8221;, dijo Morag.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-storytime-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/1727886513_963_CeranaKeeper-vinculada-a-China-apunta-al-sudeste-asiatico-con-filtracion.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;En esta campa\u00f1a, TeamTNT tambi\u00e9n utiliza anondns (AnonDNS o DNS an\u00f3nimo es un concepto o servicio dise\u00f1ado para proporcionar anonimato y privacidad al resolver consultas de DNS), para apuntar a su servidor web&#8221;.<\/p>\n<p>Los hallazgos se producen cuando Trend Micro arroja luz sobre una nueva campa\u00f1a que involucr\u00f3 un ataque de fuerza bruta dirigido contra un cliente an\u00f3nimo para entregar la botnet de criptominer\u00eda Prometei.<\/p>\n<p>&#8220;Prometei se propaga en el sistema explotando vulnerabilidades en el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB)&#8221;, afirma la empresa. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/j\/unmasking-prometei-a-deep-dive-into-our-mxdr-findings.html\" target=\"_blank\">dicho<\/a>destacando los esfuerzos del actor de amenazas para establecer la persistencia, evadir las herramientas de seguridad y obtener un acceso m\u00e1s profundo a la red de una organizaci\u00f3n a trav\u00e9s del volcado de credenciales y el movimiento lateral.<\/p>\n<p>&#8220;Las m\u00e1quinas afectadas se conectan a un servidor de grupo de miner\u00eda que puede usarse para extraer criptomonedas (Monero) en m\u00e1quinas comprometidas sin el conocimiento de la v\u00edctima&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/10\/notorious-hacker-group-teamtnt-launches.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 de octubre de 2024\ue804Ravie LakshmananSeguridad en la nube \/ Criptomoneda El infame grupo de criptojacking conocido como<\/p>\n","protected":false},"author":1,"featured_media":1413786,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,4664,3952,2386,6369,543,201033,4654,201031,4659,4653,4655,60473,10650,2431,18,246983,255454,246984,201032,152847,246982,4660],"class_list":["post-1413785","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-como-hackear","tag-criptomineria","tag-grupo","tag-hackers","tag-lanza","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-notorio","tag-nube","tag-nuevos","tag-para","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-teamtnt","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1413785","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1413785"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1413785\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1413786"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1413785"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1413785"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1413785"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}