- 13,850
- 20
- 8 Ноя 2022
Ранее неизвестный штамм сохраняется даже после перезагрузки системы и остаётся невидимым.
Специалисты ИБ-компании Для просмотра ссылки Войди
Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.
Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.
Сценарий оболочки выполняет подготовительные шаги для:
- перенастройки жестких ограничений на использование ресурсов;
- предотвращения регистрации истории команд;
- приема всего входящего и исходящего трафика;
- перечисления аппаратных ресурсов;
- очистки предыдущих компрометаций перед началом атаки.
Вредоносная полезная нагрузка TeamTNT также использует метод под названием «перехват динамического компоновщика» ( майнера с помощью исполняемого файла общего объекта, называемого Для просмотра ссылки Войди
Постоянство достигается тремя различными способами, один из которых изменяет файл «.profile», чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.
Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.
- Источник новости
- www.securitylab.ru
