El notorio grupo de hackers conocido como TeamTNT ha resurgido con una nueva campaña dirigida a la infraestructura de servidores privados virtuales (VPS) que se ejecutan en el sistema operativo CentOS.
El grupo, conocido por sus operaciones de criptojacking, ha estado activo desde al menos 2019 y se ha dirigido a servidores Linux y Redis, así como a contenedores Docker mal configurados y clústeres de Kubernetes.
Según un informe reciente de investigadores de Group-IB, los ataques modernos comienzan con un ataque de fuerza bruta de shell seguro (SSH) a los activos de la víctima, durante el cual el actor de la amenaza carga un script malicioso.
Este script está diseñado para deshabilitar funciones de seguridad, eliminar registros y modificar archivos del sistema mientras busca mineros existentes. También elimina los procesos de minería de criptomonedas, elimina los contenedores Docker y actualiza la configuración DNS en los servidores de Google.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
El script malicioso instala el rootkit Dimorphine, un rootkit de módulo de kernel cargable (LKM) para el kernel de Linux. Esto permite a un atacante realizar actividades maliciosas de forma encubierta en un host comprometido.
Los rootkits proporcionan características como ejecución silenciosa, la capacidad de ocultar/mostrar procesos arbitrarios y la capacidad de enviar señales para rootear a cualquier usuario.
Los actores de amenazas también utilizan herramientas personalizadas para mantener la persistencia y el control de los sistemas comprometidos. El script crea un usuario de puerta trasera con acceso root, lo agrega al grupo “sudoer” e instala una clave pública que permite el acceso seguro a través de SSH.
Según Group-IB, el script altera los atributos del archivo y bloquea el sistema, impidiendo que los administradores del sistema desbloqueen archivos protegidos y obstaculizando los esfuerzos de recuperación.
Los expertos en seguridad advierten que el resurgimiento de TeamTNT pone de relieve la creciente complejidad de proteger la infraestructura de la nube.
“Las tecnologías nativas de la nube como Kubernetes y Docker permiten a los atacantes tomar el control de los recursos explotando configuraciones erróneas y medidas de seguridad débiles”, dijo Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start.
CentOS, especialmente la versión 7, todavía se usa ampliamente a pesar de haber sido descontinuado, lo que hace que estos sistemas sean vulnerables a ataques.
“El enfoque de TeamTNT en las instancias de CentOS VPS es importante porque estos sistemas a menudo no tienen los últimos parches de seguridad, lo que los hace vulnerables”, afirman los investigadores.
Para mitigar estas amenazas, se alienta a los equipos de seguridad a reforzar las configuraciones de SSH, monitorear los rootkits y garantizar que los entornos en contenedores estén protegidos.
Además, implementar medidas de seguridad, como aplicar los últimos parches de seguridad, configurar firewalls para permitir solo servicios críticos y restringir el acceso SSH a direcciones IP específicas, puede ayudar a prevenir estos ataques.
El último ataque de TeamTNT destaca la necesidad de mayores medidas de seguridad en las implementaciones en la nube. A medida que la tecnología de la nube continúa evolucionando, también lo hacen las tácticas de los actores de amenazas.
¿Forma parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
