Sliver Malware

El conocido grupo de cryptojacking TeamTNT parece estar preparándose para una nueva campaña a gran escala centrada en infiltrarse en entornos nativos de la nube para minar criptomonedas y alquilar servidores comprometidos a terceros.

Su estrategia actual implica:

• Explotación de daemons Docker expuestos para implementar el malware Sliver.
• Un gusano cibernético y un minero de criptomonedas.
• Aprovechando los servidores comprometidos y Docker Hub para difundir su software amenazante.

Estas actividades ponen de relieve la constante evolución de TeamTNT en sus métodos de ataque. La empresa se adapta constantemente para lanzar ataques complejos de varias etapas destinados a comprometer los entornos Docker y reclutarlos para un enjambre Docker.

Además de utilizar Docker Hub para alojar y distribuir sus cargas maliciosas, se ha visto a TeamTNT alquilando el poder computacional de las víctimas a otras partes para la minería de criptomonedas no autorizada, expandiendo sus flujos de ingresos.

Los indicios de esta campaña aparecieron a principios de este mes, cuando los investigadores identificaron intentos poco ortodoxos de agrupar instancias de Docker comprometidas en un enjambre de Docker. Si bien inicialmente dudaban en atribuir estos ataques directamente a TeamTNT, los investigadores ahora creen que la operación es mucho más extensa de lo que se creía inicialmente.

Cómo funcionan los nuevos ataques de TeamTNT

Los ataques implican la detección de puntos finales de API de Docker expuestos y no autenticados a través de masscan y ZGrab para implementar criptomineros y enumerar la infraestructura comprometida para alquilar en la plataforma Mining Rig Rentals, lo que permite a TeamTNT evitar administrar estos recursos directamente, lo que resalta la sofisticación de su modelo de negocio ilícito.

Este proceso utiliza un script de ataque que escanea los daemons de Docker en los puertos 2375, 2376, 4243 y 4244 en aproximadamente 16,7 millones de direcciones IP y luego implementa un contenedor con una imagen de Alpine Linux incorporada con comandos corruptos.

La imagen, proveniente de una cuenta de Docker Hub comprometida ('nmlm99'), ejecuta un script de shell inicial conocido como Docker Gatling Gun ('TDGGinit.sh') para lanzar otras tareas de explotación.

Una novedad clave que notaron los investigadores es el cambio de TeamTNT de la puerta trasera Tsunami al marco de comando y control (C2) de Sliver para el control remoto de los servidores infectados, lo que demuestra una evolución en las tácticas. Además, el grupo sigue utilizando sus convenciones de nomenclatura distintivas, incluidas Chimaera, TDGG y bioset (para operaciones C2), lo que confirma que se trata de una campaña típica de TeamTNT.

En esta campaña, TeamTNT también utiliza AnonDNS (DNS anónimo), un servicio diseñado para mejorar el anonimato y la privacidad al resolver consultas DNS para redirigir el tráfico a su servidor web.

Los cibercriminales siguen difundiendo criptomineros

Los hallazgos llegan mientras los investigadores arrojan luz sobre una nueva campaña que involucró un ataque de fuerza bruta dirigido contra un cliente anónimo para entregar la botnet de minería de criptomonedas Prometei .

Prometei se propaga en el sistema explotando vulnerabilidades en el Protocolo de escritorio remoto (RDP) y el Bloque de mensajes del servidor (SMB), lo que resalta los esfuerzos del actor de amenazas por configurar la persistencia, evadir herramientas de seguridad y obtener acceso más profundo a la red de una organización a través del volcado de credenciales y el movimiento lateral.

Las máquinas afectadas se conectan a un servidor de grupo de minería, que puede usarse para minar criptomonedas (Monero) en máquinas comprometidas sin el conocimiento de la víctima.