Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Группировка TeamTNT добывает криптовалюту на серверах с CentOS

20/09/24

IT65-3

Группа киберпреступников TeamTNT снова активизировалась и запустила новую кампанию по криптоджекингу, нацелившись на серверы с операционной системой CentOS. По данным компании Group-IB, злоумышленники используют брутфорс-атаки через SSH для проникновения на виртуальные серверы, пишет Securitylab.

После получения доступа хакеры загружают вредоносный скрипт, который отключает защитные механизмы, удаляет записи, останавливает конкурирующие процессы майнинга и препятствует восстановлению системы. В результате этой цепочки действий хакеры устанавливают руткит Diamorphine, скрывающий зловредные процессы и обеспечивающий удалённый доступ ко взломанным хостам.

С умеренной уверенностью исследователи приписывают выявленные атаки группе TeamTNT из-за схожести тактик и методов, которые использовались в её прошлых операциях. TeamTNT впервые была замечена в 2019 году за проведением незаконного майнинга криптовалют на облачных и контейнерных платформах. В 2021 году группа заявила о завершении своей деятельности, однако с 2022 года фиксируются всё новые и новые атаки, приписываемые этой группе.

В новой кампании вредоносный скрипт первым делом проверяет заражённую систему на следы других криптоджекинговых операций. Затем он отключает системы безопасности, такие как SELinux, AppArmor и файервол. Особое внимание злоумышленники уделили сервису «aliyun.service», связанному с облачным провайдером Alibaba. Если этот сервис обнаружен, скрипт загружает команды для его удаления, освобождая ресурсы для собственных операций.

Как уже отмечалось выше, скрипт устраняет конкурентов, убивая процессы других майнеров и удаляя их контейнеры, а также связанные с ними образы. Для сохранения контроля за сервером злоумышленники настраивают cron-задачи, которые каждые 30 минут загружают обновления с удалённого сервера. Кроме того, они изменяют файл авторизации SSH, добавляя учётную запись с правами root для постоянного доступа.

Чтобы скрыть следы своей активности, преступники изменяют атрибуты файлов, создают учётные записи с доступом администратора и стирают историю команд.

Темы:майнингУгрозыGroup-IBсерверы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...