L’opération de cryptojacking connue sous le nom de Équipe TNT a probablement refait surface dans le cadre d’une nouvelle campagne ciblant les infrastructures de serveur privé virtuel (VPS) basées sur le système d’exploitation CentOS.
« L’accès initial a été réalisé via une attaque par force brute Secure Shell (SSH) sur les actifs de la victime, au cours de laquelle l’acteur de la menace a téléchargé un script malveillant », ont déclaré les chercheurs du Group-IB Vito Alfano et Nam Le Phuong dit dans un rapport du mercredi.
Le script malveillant, a noté la société de cybersécurité singapourienne, est responsable de la désactivation des fonctionnalités de sécurité, de la suppression des journaux, de l’arrêt des processus d’extraction de cryptomonnaie et de l’inhibition des efforts de récupération.
Les chaînes d’attaque ouvrent finalement la voie au déploiement du rootkit Diamorphine pour dissimuler les processus malveillants, tout en mettant en place un accès à distance persistant à l’hôte compromis.
La campagne a été attribuée à TeamTNT avec une confiance modérée, citant des similitudes dans les tactiques, techniques et procédures (TTP) observées.
TeamTNT a été découvert pour la première fois dans la nature en 2019, alors qu’il se livrait à des activités illicites de minage de cryptomonnaies en s’infiltrant dans des environnements cloud et conteneurs. Alors que l’acteur malveillant a fait ses adieux en novembre 2021 en annonçant une « démission nette », des rapports publics ont révélé plusieurs campagnes menées par l’équipe de piratage depuis septembre 2022.
La dernière activité liée au groupe se manifeste sous la forme d’un script shell qui vérifie d’abord s’il a été précédemment infecté par d’autres opérations de cryptojacking, après quoi il procède à la dégradation de la sécurité de l’appareil en le désactivant. SELinuxAppArmor et le pare-feu.
 |
| Modifications implémentées sur le service ssh |
« Le script recherche un démon lié au fournisseur de cloud Alibaba, nommé aliyun.service », ont expliqué les chercheurs. « S’il détecte ce démon, il télécharge un script bash depuis update.aegis.aliyun.com pour désinstaller le service. »
En plus de tuer tous les processus d’extraction de crypto-monnaie concurrents, le script prend des mesures pour exécuter une série de commandes pour supprimer les traces laissées par d’autres mineurs, mettre fin aux processus conteneurisés et supprimer les images déployées en relation avec tous les mineurs de pièces.
De plus, il établit la persistance en configurant des tâches cron qui téléchargent le script shell toutes les 30 minutes à partir d’un serveur distant (65.108.48[.]150) et en modifiant le fichier « /root/.ssh/authorized_keys » pour ajouter un compte de porte dérobée.
« Il verrouille le système en modifiant les attributs des fichiers, en créant un utilisateur backdoor avec accès root et en effaçant l’historique des commandes pour masquer ses activités », ont noté les chercheurs. « L’acteur malveillant ne laisse rien au hasard ; en effet, le script implémente divers changements dans la configuration du service SSH et du pare-feu. »