Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Группировка TeamTNT добывает криптовалюту на серверах с CentOS

20/09/24

IT65-3

Группа киберпреступников TeamTNT снова активизировалась и запустила новую кампанию по криптоджекингу, нацелившись на серверы с операционной системой CentOS. По данным компании Group-IB, злоумышленники используют брутфорс-атаки через SSH для проникновения на виртуальные серверы, пишет Securitylab.

После получения доступа хакеры загружают вредоносный скрипт, который отключает защитные механизмы, удаляет записи, останавливает конкурирующие процессы майнинга и препятствует восстановлению системы. В результате этой цепочки действий хакеры устанавливают руткит Diamorphine, скрывающий зловредные процессы и обеспечивающий удалённый доступ ко взломанным хостам.

С умеренной уверенностью исследователи приписывают выявленные атаки группе TeamTNT из-за схожести тактик и методов, которые использовались в её прошлых операциях. TeamTNT впервые была замечена в 2019 году за проведением незаконного майнинга криптовалют на облачных и контейнерных платформах. В 2021 году группа заявила о завершении своей деятельности, однако с 2022 года фиксируются всё новые и новые атаки, приписываемые этой группе.

В новой кампании вредоносный скрипт первым делом проверяет заражённую систему на следы других криптоджекинговых операций. Затем он отключает системы безопасности, такие как SELinux, AppArmor и файервол. Особое внимание злоумышленники уделили сервису «aliyun.service», связанному с облачным провайдером Alibaba. Если этот сервис обнаружен, скрипт загружает команды для его удаления, освобождая ресурсы для собственных операций.

Как уже отмечалось выше, скрипт устраняет конкурентов, убивая процессы других майнеров и удаляя их контейнеры, а также связанные с ними образы. Для сохранения контроля за сервером злоумышленники настраивают cron-задачи, которые каждые 30 минут загружают обновления с удалённого сервера. Кроме того, они изменяют файл авторизации SSH, добавляя учётную запись с правами root для постоянного доступа.

Чтобы скрыть следы своей активности, преступники изменяют атрибуты файлов, создают учётные записи с доступом администратора и стирают историю команд.

Темы:майнингУгрозыGroup-IBсерверы
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...