Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Злоумышленники осваивают новые способы извлечения выгоды из захваченных серверов

29/10/24

hack144-2

Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec зафиксировали активность группы, которая использует уязвимые Docker-демоны для распространения вредоносного ПО и криптодобытчиков. Это передаёт Securitylab.

Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегальной добычи криптовалюты.

Компания Datadog ранее уже предупреждала о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.

Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.

Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.

Темы:криптовалютыУгрозыDockerAqua Security
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...