29/10/24
Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec зафиксировали активность группы, которая использует уязвимые Docker-демоны для распространения вредоносного ПО и криптодобытчиков. Это передаёт Securitylab.
Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегальной добычи криптовалюты.
Компания Datadog ранее уже предупреждала о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.
Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.
Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.
