Table of Contents
Novo Ataque de Cryptojacking: TeamTNT Alvo de Ambientes Nativos em Nuvem
O infame grupo de cryptojacking conhecido como TeamTNT está se preparando para uma nova campanha em grande escala, visando ambientes nativos em nuvem para mineração de criptomoedas e alugando servidores comprometidos para terceiros.
“O grupo atualmente está alvejando daemons Docker expostos para implantar malware Sliver, um verme cibernético, e cryptominers, utilizando servidores comprometidos e Docker Hub como infraestrutura para espalhar seu malware”, afirmou Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua, em um relatório publicado na sexta-feira.
A atividade de ataque do TeamTNT mais uma vez atesta a persistência do ator de ameaças e sua capacidade de evoluir suas táticas, realizando assentamentos multistágios com o objetivo de comprometer ambientes Docker e integrá-los em um Docker Swarm. Além de usar o Docker Hub para hospedar e distribuir suas cargas maliciosas, o TeamTNT tem sido observado oferecendo o poder computacional das vítimas a outras partes para mineração ilícita de criptomoedas, diversificando sua estratégia de monetização.
Rumores sobre a campanha de ataque surgiram no início deste mês, quando a Datadog divulgou tentativas maliciosas de reunir instâncias Docker infectadas em um Docker Swarm, insinuando que poderia ser obra do TeamTNT, embora também tenha se abstenido de fazer uma atribuição formal. A extensão total da operação não estava clara, até agora.
Morag disse ao The Hacker News que a Datadog “encontrou a infraestrutura em um estágio muito inicial” e que sua descoberta “forçou o ator de ameaças a mudar a campanha um pouco”.
Os ataques envolvem a identificação de endpoints API Docker não autenticados e expostos, utilizando masscan e ZGrab, e os usando para a implantação de cryptominers, além de vender a infraestrutura comprometida para outros em uma plataforma de aluguel de mineração chamada Mining Rig Rentals. Isso descarrega efetivamente o trabalho de ter que gerenciá-los, um sinal da maturação do modelo de negócios ilícito.
Especificamente, isso é realizado por meio de um script de ataque que escaneia daemons Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP. Ele subsequentemente implanta um contêiner que executa uma imagem do Alpine Linux com comandos maliciosos. A imagem, recuperada de uma conta comprometida do Docker Hub, também executa um script shell inicial chamado Docker Gatling Gun (TDGGinit.sh) para lançar atividades de pós-exploração.
Uma mudança notável observada pela Aqua é a transição do backdoor Tsunami para o framework de comando e controle (C2) Sliver de código aberto para comandar remotamente os servidores infectados. “Além disso, o TeamTNT continua a usar suas convenções de nomenclatura estabelecidas, como Chimaera, TDGG e bioset (para operações C2), o que reforça a ideia de que esta é uma campanha clássica do TeamTNT”, disse Morag.
Nesta campanha, o TeamTNT também está utilizando anondns (AnonDNS ou DNS Anônimo é um conceito ou serviço projetado para fornecer anonimato e privacidade na resolução de consultas DNS), a fim de apontar para seu servidor web.
As descobertas surgem à medida que a Trend Micro lança luz sobre uma nova campanha que envolveu um ataque direcionado por força bruta contra um cliente não identificado para entregar o botnet Prometei de mineração de criptomoeda. “Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) e no Bloco de Mensagens do Servidor (SMB)”, afirmou a empresa disse, destacando os esforços do ator de ameaças em estabelecer persistência, evadir ferramentas de segurança e obter acesso mais profundo à rede de uma organização por meio de coleta de credenciais e movimentação lateral.
“As máquinas afetadas se conectam a um servidor de pool de mineração que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas sem o conhecimento da vítima.”
Como funciona o processo de ataque do TeamTNT para explorar daemons Docker expostos?
O processo de ataque do TeamTNT para explorar daemons Docker expostos envolve várias etapas e técnicas sofisticadas:
Identificação e Exploitação de Daemon Docker Exposto
- O TeamTNT utiliza ferramentas de scanner como
masscan
,pnscan
, eZGrab
para identificar daemons Docker expostos e não autenticados nas portas 2375, 2376, 4243 e 4244. - Essas ferramentas permitem que o grupo escaneie um vasto número de endereços IP em busca de vulnerabilidades.
Implantação de Malware
- Uma vez identificado um daemon Docker exposto, o TeamTNT implanta um contêiner que executa uma imagem do Alpine Linux com comandos maliciosos.
- Essa imagem é frequentemente recuperada de contas comprometidas no Docker Hub.
- O script de ataque, como o “Docker Gatling Gun” (
TDGGinit.sh
), é executado para lançar atividades de pós-exploração, incluindo a instalação de cryptominers e outros malwares.
Pós-Exploração e Propagação
- O malware pode executar várias ações, incluindo a instalação de ferramentas como
ZGrab
,masscan
, epnscan
para escanear outras instâncias de daemons Docker expostos e expandir a operação de cryptojacking. - O TeamTNT também utiliza scripts para remover competidores, como outros malwares de cryptojacking, e para instalar rootkits e backdoors para manter o acesso ao sistema comprometido.
- Além disso, o grupo pode usar técnicas de memory password scraping com ferramentas como
mimipy
emimipenguins
para exfiltrar credenciais e expandir sua presença na rede.
Comando e Controle (C2)
- O TeamTNT tem migrado do backdoor Tsunami para o framework de comando e controle (C2) Sliver, um framework de código aberto, para comandar remotamente os servidores infectados.
- Isso permite uma gestão mais eficiente dos servidores comprometidos.
Medidas de Mitigação
Autenticação e Autorização
- Garantir que todos os daemons Docker sejam protegidos por autenticação e autorização adequadas, evitando que sejam expostos à internet sem as devidas medidas de segurança.
Atualização e Patch
- Manter todos os componentes do Docker e das instâncias de Kubernetes atualizados com os últimos patches de segurança para evitar a exploração de vulnerabilidades conhecidas.
Monitoramento e Detecção
- Implementar soluções de monitoramento e detecção de anomalias para identificar atividades suspeitas, como o uso de ferramentas de scanner maliciosas ou a execução de scripts desconhecidos.
Segurança de Rede
- Limitar o acesso às portas do Docker Daemon apenas às necessárias e usar firewalls e listas de controle de acesso (ACLs) para restringir o tráfego de rede.
Remoção de Competidores
- Regularmente escanear os sistemas em busca de outros malwares de cryptojacking e remover qualquer competidor para evitar a coinfecção.
Uso de Ferramentas de Segurança
- Utilizar ferramentas de segurança específicas para ambientes de nuvem e contêineres, como aquelas oferecidas pela Aqua Security, Trend Micro, e outras, para detectar e mitigar ataques do TeamTNT.
Privacidade e Anonimato
- Evitar o uso de serviços de DNS anônimos ou outros meios de anonimato que possam ser utilizados pelo TeamTNT para ocultar suas atividades.
Por meio dessas medidas, é possível reduzir significativamente o risco de comprometimento dos ambientes em nuvem pelo TeamTNT e outros grupos de cryptojacking.
Glossário de Termos Técnicos
- Cryptojacking: O uso não autorizado de dispositivos de terceiros para minerar criptomoedas.
- TeamTNT: Um grupo de cibercriminosos conhecido por explorar vulnerabilidades em ambientes Docker.
- Docker: Uma plataforma que permite desenvolver, enviar e executar aplicativos em contêineres.
- Malware: Software malicioso projetado para causar danos a um computador ou rede.
- Infraestrutura Comprometida: Sistemas ou redes que foram invadidos e controlados por atacantes.
Referências
- [Aqua Security: Threat Alert: New Malware in the Cloud By TeamTNT]
- [Trend Micro: TeamTNT Returns — Or Does It?]
- [Bank Info Security: Cryptojacker Targets Exposed Docker Daemon APIs]
- [Palo Alto Unit 42: Black-T: New Cryptojacking Variant from TeamTNT]
- [Aqua Security: TeamTNT’s Docker Gatling Gun Campaign]
#cryptojacking, #TeamTNT, #Docker, #mineraçãoDeCriptomoedas, #malware, #infraestruturaComprometida, #cryptoalch
Fonte inicial