spot_img
19 C
São Paulo
spot_img
HomeInvestmentsNovo Ataque de Cryptojacking: TeamTNT Alvo de Ambientes Nativos em Nuvem

Novo Ataque de Cryptojacking: TeamTNT Alvo de Ambientes Nativos em Nuvem

Novo Ataque de Cryptojacking: TeamTNT Alvo de Ambientes Nativos em Nuvem

O infame grupo de cryptojacking conhecido como TeamTNT está se preparando para uma nova campanha em grande escala, visando ambientes nativos em nuvem para mineração de criptomoedas e alugando servidores comprometidos para terceiros.

“O grupo atualmente está alvejando daemons Docker expostos para implantar malware Sliver, um verme cibernético, e cryptominers, utilizando servidores comprometidos e Docker Hub como infraestrutura para espalhar seu malware”, afirmou Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua, em um relatório publicado na sexta-feira.

A atividade de ataque do TeamTNT mais uma vez atesta a persistência do ator de ameaças e sua capacidade de evoluir suas táticas, realizando assentamentos multistágios com o objetivo de comprometer ambientes Docker e integrá-los em um Docker Swarm. Além de usar o Docker Hub para hospedar e distribuir suas cargas maliciosas, o TeamTNT tem sido observado oferecendo o poder computacional das vítimas a outras partes para mineração ilícita de criptomoedas, diversificando sua estratégia de monetização.

Rumores sobre a campanha de ataque surgiram no início deste mês, quando a Datadog divulgou tentativas maliciosas de reunir instâncias Docker infectadas em um Docker Swarm, insinuando que poderia ser obra do TeamTNT, embora também tenha se abstenido de fazer uma atribuição formal. A extensão total da operação não estava clara, até agora.

Morag disse ao The Hacker News que a Datadog “encontrou a infraestrutura em um estágio muito inicial” e que sua descoberta “forçou o ator de ameaças a mudar a campanha um pouco”.

Cloud Attacks for Crypto Mining

Os ataques envolvem a identificação de endpoints API Docker não autenticados e expostos, utilizando masscan e ZGrab, e os usando para a implantação de cryptominers, além de vender a infraestrutura comprometida para outros em uma plataforma de aluguel de mineração chamada Mining Rig Rentals. Isso descarrega efetivamente o trabalho de ter que gerenciá-los, um sinal da maturação do modelo de negócios ilícito.

Especificamente, isso é realizado por meio de um script de ataque que escaneia daemons Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP. Ele subsequentemente implanta um contêiner que executa uma imagem do Alpine Linux com comandos maliciosos. A imagem, recuperada de uma conta comprometida do Docker Hub, também executa um script shell inicial chamado Docker Gatling Gun (TDGGinit.sh) para lançar atividades de pós-exploração.

Uma mudança notável observada pela Aqua é a transição do backdoor Tsunami para o framework de comando e controle (C2) Sliver de código aberto para comandar remotamente os servidores infectados. “Além disso, o TeamTNT continua a usar suas convenções de nomenclatura estabelecidas, como Chimaera, TDGG e bioset (para operações C2), o que reforça a ideia de que esta é uma campanha clássica do TeamTNT”, disse Morag.

Nesta campanha, o TeamTNT também está utilizando anondns (AnonDNS ou DNS Anônimo é um conceito ou serviço projetado para fornecer anonimato e privacidade na resolução de consultas DNS), a fim de apontar para seu servidor web.

As descobertas surgem à medida que a Trend Micro lança luz sobre uma nova campanha que envolveu um ataque direcionado por força bruta contra um cliente não identificado para entregar o botnet Prometei de mineração de criptomoeda. “Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remota (RDP) e no Bloco de Mensagens do Servidor (SMB)”, afirmou a empresa disse, destacando os esforços do ator de ameaças em estabelecer persistência, evadir ferramentas de segurança e obter acesso mais profundo à rede de uma organização por meio de coleta de credenciais e movimentação lateral.

“As máquinas afetadas se conectam a um servidor de pool de mineração que pode ser usado para minerar criptomoedas (Monero) em máquinas comprometidas sem o conhecimento da vítima.”

Como funciona o processo de ataque do TeamTNT para explorar daemons Docker expostos?

O processo de ataque do TeamTNT para explorar daemons Docker expostos envolve várias etapas e técnicas sofisticadas:

Identificação e Exploitação de Daemon Docker Exposto

  1. O TeamTNT utiliza ferramentas de scanner como masscan, pnscan, e ZGrab para identificar daemons Docker expostos e não autenticados nas portas 2375, 2376, 4243 e 4244.
  2. Essas ferramentas permitem que o grupo escaneie um vasto número de endereços IP em busca de vulnerabilidades.

Implantação de Malware

  1. Uma vez identificado um daemon Docker exposto, o TeamTNT implanta um contêiner que executa uma imagem do Alpine Linux com comandos maliciosos.
  2. Essa imagem é frequentemente recuperada de contas comprometidas no Docker Hub.
  3. O script de ataque, como o “Docker Gatling Gun” (TDGGinit.sh), é executado para lançar atividades de pós-exploração, incluindo a instalação de cryptominers e outros malwares.

Pós-Exploração e Propagação

  1. O malware pode executar várias ações, incluindo a instalação de ferramentas como ZGrab, masscan, e pnscan para escanear outras instâncias de daemons Docker expostos e expandir a operação de cryptojacking.
  2. O TeamTNT também utiliza scripts para remover competidores, como outros malwares de cryptojacking, e para instalar rootkits e backdoors para manter o acesso ao sistema comprometido.
  3. Além disso, o grupo pode usar técnicas de memory password scraping com ferramentas como mimipy e mimipenguins para exfiltrar credenciais e expandir sua presença na rede.

Comando e Controle (C2)

  1. O TeamTNT tem migrado do backdoor Tsunami para o framework de comando e controle (C2) Sliver, um framework de código aberto, para comandar remotamente os servidores infectados.
  2. Isso permite uma gestão mais eficiente dos servidores comprometidos.

Medidas de Mitigação

Autenticação e Autorização

  • Garantir que todos os daemons Docker sejam protegidos por autenticação e autorização adequadas, evitando que sejam expostos à internet sem as devidas medidas de segurança.

Atualização e Patch

  • Manter todos os componentes do Docker e das instâncias de Kubernetes atualizados com os últimos patches de segurança para evitar a exploração de vulnerabilidades conhecidas.

Monitoramento e Detecção

  • Implementar soluções de monitoramento e detecção de anomalias para identificar atividades suspeitas, como o uso de ferramentas de scanner maliciosas ou a execução de scripts desconhecidos.

Segurança de Rede

  • Limitar o acesso às portas do Docker Daemon apenas às necessárias e usar firewalls e listas de controle de acesso (ACLs) para restringir o tráfego de rede.

Remoção de Competidores

  • Regularmente escanear os sistemas em busca de outros malwares de cryptojacking e remover qualquer competidor para evitar a coinfecção.

Uso de Ferramentas de Segurança

  • Utilizar ferramentas de segurança específicas para ambientes de nuvem e contêineres, como aquelas oferecidas pela Aqua Security, Trend Micro, e outras, para detectar e mitigar ataques do TeamTNT.

Privacidade e Anonimato

  • Evitar o uso de serviços de DNS anônimos ou outros meios de anonimato que possam ser utilizados pelo TeamTNT para ocultar suas atividades.

Por meio dessas medidas, é possível reduzir significativamente o risco de comprometimento dos ambientes em nuvem pelo TeamTNT e outros grupos de cryptojacking.

Glossário de Termos Técnicos

  • Cryptojacking: O uso não autorizado de dispositivos de terceiros para minerar criptomoedas.
  • TeamTNT: Um grupo de cibercriminosos conhecido por explorar vulnerabilidades em ambientes Docker.
  • Docker: Uma plataforma que permite desenvolver, enviar e executar aplicativos em contêineres.
  • Malware: Software malicioso projetado para causar danos a um computador ou rede.
  • Infraestrutura Comprometida: Sistemas ou redes que foram invadidos e controlados por atacantes.

Referências

  • [Aqua Security: Threat Alert: New Malware in the Cloud By TeamTNT]
  • [Trend Micro: TeamTNT Returns — Or Does It?]
  • [Bank Info Security: Cryptojacker Targets Exposed Docker Daemon APIs]
  • [Palo Alto Unit 42: Black-T: New Cryptojacking Variant from TeamTNT]
  • [Aqua Security: TeamTNT’s Docker Gatling Gun Campaign]

#cryptojacking, #TeamTNT, #Docker, #mineraçãoDeCriptomoedas, #malware, #infraestruturaComprometida, #cryptoalch
Fonte inicial

latest articles

explore more