Новости Docker, Sliver и AnonDNS – чем опасна новая кампания TeamTNT?

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Злоумышленники осваивают новые схемы монетизации на захваченных серверах.


k3yupf1dl2ejwecmkjomfyuf0fa4elkt.jpg


Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec Для просмотра ссылки Войди или Зарегистрируйся активность группы, которая использует уязвимые Docker -демоны для распространения вредоносного ПО и криптомайнеров.

Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегального майнинга.

Компания Datadog ранее Для просмотра ссылки Войди или Зарегистрируйся о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.

Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.

Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.

Тем временем, Trend Micro Для просмотра ссылки Войди или Зарегистрируйся о другой кампании, связанной с ботнетом Prometei, который распространяется через уязвимости RDP и SMB-протоколов. Заражённые машины подключаются к пулу для майнинга Monero, при этом владельцы даже не подозревают об использовании их ресурсов.
 
Источник новости
www.securitylab.ru

Похожие темы