- 13,851
- 20
- 8 Ноя 2022
Злоумышленники осваивают новые схемы монетизации на захваченных серверах.
Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec Для просмотра ссылки Войдиили Зарегистрируйся активность группы, которая использует уязвимые Docker -демоны для распространения вредоносного ПО и криптомайнеров.
Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегального майнинга.
Компания Datadog ранее Для просмотра ссылки Войдиили Зарегистрируйся о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.
Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.
Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.
Тем временем, Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся о другой кампании, связанной с ботнетом Prometei, который распространяется через уязвимости RDP и SMB-протоколов. Заражённые машины подключаются к пулу для майнинга Monero, при этом владельцы даже не подозревают об использовании их ресурсов.
Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec Для просмотра ссылки Войди
Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегального майнинга.
Компания Datadog ранее Для просмотра ссылки Войди
Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.
Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.
Тем временем, Trend Micro Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
