Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Группировка TeamTNT добывает криптовалюту на серверах с CentOS

20/09/24

IT65-3

Группа киберпреступников TeamTNT снова активизировалась и запустила новую кампанию по криптоджекингу, нацелившись на серверы с операционной системой CentOS. По данным компании Group-IB, злоумышленники используют брутфорс-атаки через SSH для проникновения на виртуальные серверы, пишет Securitylab.

После получения доступа хакеры загружают вредоносный скрипт, который отключает защитные механизмы, удаляет записи, останавливает конкурирующие процессы майнинга и препятствует восстановлению системы. В результате этой цепочки действий хакеры устанавливают руткит Diamorphine, скрывающий зловредные процессы и обеспечивающий удалённый доступ ко взломанным хостам.

С умеренной уверенностью исследователи приписывают выявленные атаки группе TeamTNT из-за схожести тактик и методов, которые использовались в её прошлых операциях. TeamTNT впервые была замечена в 2019 году за проведением незаконного майнинга криптовалют на облачных и контейнерных платформах. В 2021 году группа заявила о завершении своей деятельности, однако с 2022 года фиксируются всё новые и новые атаки, приписываемые этой группе.

В новой кампании вредоносный скрипт первым делом проверяет заражённую систему на следы других криптоджекинговых операций. Затем он отключает системы безопасности, такие как SELinux, AppArmor и файервол. Особое внимание злоумышленники уделили сервису «aliyun.service», связанному с облачным провайдером Alibaba. Если этот сервис обнаружен, скрипт загружает команды для его удаления, освобождая ресурсы для собственных операций.

Как уже отмечалось выше, скрипт устраняет конкурентов, убивая процессы других майнеров и удаляя их контейнеры, а также связанные с ними образы. Для сохранения контроля за сервером злоумышленники настраивают cron-задачи, которые каждые 30 минут загружают обновления с удалённого сервера. Кроме того, они изменяют файл авторизации SSH, добавляя учётную запись с правами root для постоянного доступа.

Чтобы скрыть следы своей активности, преступники изменяют атрибуты файлов, создают учётные записи с доступом администратора и стирают историю команд.

Темы:майнингУгрозыGroup-IBсерверы
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...