Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Специалисты предполагают возвращение группировки TeamTNT

20/09/22

hack50-Sep-20-2022-09-56-34-30-AM

В начале сентября этого года специалисты из AquaSec обнаружили свежие следы TeamTNT на своих ханипотах. Пускай зафиксированные атаки и были разными, но по стилю и набору используемых инструментов они очень напоминали TeamTNT. Это навело специалистов на мысли – возможно, группировка снова в деле. Это передает Securitylab.

Всего эксперты заметили три разных вида атаки:

  • Атака кенгуру. Она названа так из-за использования метода кенгуру Полларда. Эта атака нацелена на использование вычислительных мощностей жертвы для взлома алгоритма на эллиптических кривых (ECDLP secp256k1). Эксперты отмечают, что если алгоритм удастся взломать, то хакеры получат возможность получить ключи от любого криптокошелька. Работает все так: злоумышленники ищут уязвимые демоны Docker, затем разворачивают на них стандартный образ контейнера AlpineOS, который потом используется для загрузки shell-скрипта в режиме командной строки на C&C.
  • Атака Cronb. В ходе нее используются руткиты, задания Cron, инструменты, необходимые для бокового перемещения в системе, а также развертываются криптомайнеры. Новыми элементами в этой атаке стали свежие адреса C&C-инфраструктуры и усложненный механизм обмена данными.
  • Атака What Will Be. Она нацелена на демоны Docker с образами Alpine и shell-файлами. Обнаружив цель, злоумышленники загружают и выполняют дополнительные скрипты, руткиты и криптомайнер, а также добавляют задания Cron и выполняют SSH-сканирование сети. Кроме того, в ходе атаки злоумышленники используют новый прием, вводя его через скрипты. Он позволяет хакерам заставить криптомайнер работать еще эффективнее путем изменения регистров процессора, характерных для его архитектуры.

Независимо от того, кто проводит эти атаки – TeamTNT или другая группировка, эксперты рекомендуют организациям следует усилить защиту облака, укрепить конфигурацию Docker и применить все доступные обновления безопасности, пока не стало слишком поздно.

Темы:УгрозыAqua Security

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...