Aunque generalmente se cree que el grupo “desapareció” en 2022, los investigadores de seguridad han encontrado nueva evidencia de las actividades de TeamTNT que se remontan a 2023.
TeamTNT es un prolífico actor de amenazas conocido por sus ataques de criptojacking que aprovechan los recursos de TI de las víctimas para extraer criptomonedas ilegalmente.
El probable atacante de habla alemana apareció por primera vez en 2019 y ganó notoriedad por “malware casero que utiliza un completo conjunto de herramientas de scripts de shell y binarios maliciosos”, según Group-IB.
Este ataque se dirige a instancias públicas vulnerables de Redis, Kubernetes y Docker, roba credenciales e instala puertas traseras mediante ataques de cryptojacking.
Lea más sobre TeamTNT: Los expertos advierten sobre un inminente ataque a TeamTNT Docker
El último informe de Group-IB publicado ayer reveló que las tácticas, técnicas y procedimientos (TTP) de TeamTNT se superponen con las campañas en curso que se remontan al año pasado.
“El equipo DFIR de Group-IB ha identificado evidencia clara de una nueva campaña que afecta la infraestructura de nube VPS basada en el sistema operativo CentOS”, dijo la compañía.
“Nuestra investigación reveló que el acceso inicial se logró a través de un ataque de fuerza bruta de shell seguro (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso”, dijeron nuestros expertos del DFIR cuando se ejecutó el script. busca rastros de registros generados por otros mineros para ver si el host ya ha sido comprometido.
Según el informe, este script malicioso desactiva funciones de seguridad, elimina registros y modifica archivos del sistema. Detenga cualquier proceso de minería de criptomonedas que descubra, elimine los contenedores Docker y actualice la configuración DNS en los servidores de Google.
Group-IB agregó que el script instala el rootkit “Diamorphine” para privilegios de root y sigilo, y utiliza herramientas personalizadas para mantener la persistencia y el control.
“Bloquea los sistemas cambiando los atributos de los archivos, creando usuarios de puerta trasera con acceso de root y borrando el historial de comandos para ocultar sus actividades”, dijo Group-IB.
“Todo el análisis destaca la habilidad avanzada con la que TeamTNT automatiza los ataques, considerando cada aspecto y detalle, desde el acceso inicial hasta frustrar los intentos de recuperación, con el objetivo de infligir un daño significativo a las víctimas”.
https://www.infosecurity-magazine.com/news/cryptojacking-gang-teamtnt-comeback/