TeamTNT распространяет майнер, который не обнаруживается средствами защиты

Специалисты ИБ-компании Cado Security обнаружили , что группировка TeamTNT, занимающаяся криптоджекингом, распространяет ранее неизвестный штамм вредоносного ПО для майнинга криптовалюты Monero на скомпрометированных системах. это сообщает Securitylab.

Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.

Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.

Сценарий оболочки выполняет подготовительные шаги для:

• перенастройки жестких ограничений на использование ресурсов;
• предотвращения регистрации истории команд;
• приема всего входящего и исходящего трафика;
• перечисления аппаратных ресурсов;
• очистки предыдущих компрометаций перед началом атаки.

Вредоносная полезная нагрузка TeamTNT также использует метод под названием «перехват динамического компоновщика» (Dynamic linker hijacking), чтобы скрыть процесс майнера с помощью исполняемого файла общего объекта, называемого libprocesshider, который использует переменную среды LD_PRELOAD.

Постоянство достигается тремя различными способами, один из которых изменяет файл «.profile», чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.

Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.