19 de septiembre de 2024Ravie Lakshmanan Cryptojacking / Seguridad en la nube
La operación de criptojacking conocida como TeamTNT parece haber resurgido como parte de una nueva campaña dirigida a la infraestructura de servidores privados virtuales (VPS) basada en el sistema operativo CentOS.
“El acceso inicial se logró a través de un ataque de fuerza bruta de shell seguro (SSH) a los activos de la víctima, durante el cual el actor de la amenaza cargó un script malicioso”, dijeron los investigadores de Group-IB, Vito Alfa y Nam Le Huong, en un informe sobre. Miércoles.
Según la firma de ciberseguridad de Singapur, el script malicioso es responsable de deshabilitar funciones de seguridad, eliminar registros, finalizar el proceso de minería de criptomonedas e interrumpir los esfuerzos de recuperación.
En última instancia, esta cadena de ataque allana el camino para implementar el rootkit Dimorphine y ocultar el proceso malicioso, al mismo tiempo que configura un acceso remoto persistente al host comprometido.
Este ataque se ha atribuido con confianza media a TeamTNT debido a las similitudes en las tácticas, técnicas y procedimientos (TTP) observados.
TeamTNT fue descubierto por primera vez en 2019, infiltrándose en entornos de contenedores y de nube para realizar operaciones ilegales de minería de criptomonedas. Aunque el actor de amenazas anunció una “retirada total” en noviembre de 2021 y se retiró, los informes publicados revelaron múltiples campañas realizadas por el equipo de piratería desde septiembre de 2022.
La última actividad asociada con este grupo viene en forma de scripts de shell que primero verifican si fueron infectados previamente por otras operaciones de cryptojacking y luego desactivan SELinux, AppArmor y firewalls para proteger el dispositivo.
Cambios implementados en el servicio ssh
“El script busca un demonio llamado aliyun.service, asociado con el proveedor de nube Alibaba”, dijeron los investigadores. “Si se detecta este demonio, descargará un script bash de update.aegis.aliyun.com para desinstalar el servicio”.
Además de eliminar todos los procesos de minería de criptomonedas de la competencia, este script ejecuta una serie de comandos para eliminar cualquier rastro dejado por otros mineros, finaliza los procesos en contenedores y los procesos asociados con el minero de monedas. Elimina la imagen implementada.
Además, configuraron un trabajo cron para descargar un script de shell cada 30 minutos desde un servidor remoto (65.108.48(.)150) y modificaron el archivo “/root/.ssh/authorized_keys” para agregar una cuenta de puerta trasera para establecer la persistencia. .
“Bloquea el sistema cambiando los atributos de los archivos, creando usuarios de puerta trasera con acceso de root y borrando el historial de comandos para ocultar sus actividades”, señalan los investigadores. “Los actores de amenazas no dejan nada al azar. De hecho, el script realiza varios cambios dentro de las configuraciones del servicio SSH y de firewall”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/new-teamtnt-cryptojacking-campaign.html
