Docker, Sliver и AnonDNS – чем опасна новая кампания TeamTNT?

Русскоязычный Даркнет Форум

Support81

Original poster
Administrator
Сообщения
938
Реакции
204
Посетить сайт
Злоумышленники осваивают новые схемы монетизации на захваченных серверах.
tnt.jpg


Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

активность группы, которая использует уязвимые

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

-демоны для распространения вредоносного ПО и криптомайнеров.

Среди задействованных инструментов — фреймворк

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегального майнинга.

Компания

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

ранее

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.

Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.

Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.

Тем временем, Trend Micro

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

о другой кампании, связанной с ботнетом Prometei, который распространяется через уязвимости RDP и SMB-протоколов. Заражённые машины подключаются к пулу для майнинга Monero, при этом владельцы даже не подозревают об использовании их ресурсов.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.