被称为TeamTNT的加密劫持组织被怀疑是一种以前未被发现的恶意软件的幕后黑手,该恶意软件用于在受感染的系统上挖掘 Monero 加密货币。
根据 Cado Security 的说法,该样本是在 Sysdig 详细描述了一种名为SCARLETEEL的复杂攻击后发现的,该攻击旨在容器化环境中最终窃取专有数据和软件。
具体来说,攻击链的早期阶段涉及使用加密货币矿工,云安全公司怀疑它被部署为诱饵以隐藏数据泄露检测。
Cado Security 的一项新分析显示,该工件 - 上个月底上传到 VirusTotal - “与之前的 TeamTNT 有效载荷具有一些句法和语义相似性,并且包括一个以前归因于它们的钱包 ID” 。
至少从 2019 年开始活跃的TeamTNT已被记录为反复攻击云和容器环境以部署加密货币矿工。众所周知,它还可以释放能够窃取 AWS 凭证的加密挖矿蠕虫。
虽然威胁行为者自愿在 2021 年 11 月关闭其运营,但云安全公司 Aqua于 2022 年 9 月披露了该组织针对配置错误的 Docker 和 Redis 实例发起的一系列新攻击。
也就是说,也有迹象表明, WatchDog等竞争对手可能正在模仿 TeamTNT 的战术、技术和程序 (TTP),以挫败归因工作。
另一个值得注意的活动集群是Kiss-a-dog,它也依赖于以前与 TeamTNT 关联的工具和命令与控制 (C2) 基础设施来挖掘加密货币。
没有具体证据表明新恶意软件与 SCARLETEEL 攻击有关。但 Cado Security 指出,该样本大约在后者被报道的同时浮出水面,这增加了这可能是安装的“诱饵”矿工的可能性。
就其本身而言,shell 脚本采取准备步骤来重新配置资源硬限制、阻止命令历史记录、接受所有入口或出口流量、枚举硬件资源,甚至在开始活动之前清除先前的妥协。
与其他与 TeamTNT 相关的攻击一样,恶意负载还利用一种称为动态链接器劫持的技术,通过一个名为libprocesshider的共享对象可执行文件使用LD_PRELOAD环境变量来隐藏矿工进程。
持久性是通过三种不同的方式实现的,其中一种是修改.profile 文件,以确保矿工在系统重启后继续运行。
调查结果发布之际,另一个名为8220 Gang 的加密矿工组织被发现使用名为 ScrubCrypt 的加密器进行非法加密劫持操作。
更重要的是,已经发现未知的威胁行为者以具有暴露 API 的易受攻击的 Kubernetes 容器编排器基础设施为目标来挖掘 Dero 加密货币,这标志着从 Monero 的转变。
上个月,网络安全公司 Morphisec 还揭示了一项规避恶意软件活动,该活动利用Microsoft Exchange 服务器中的ProxyShell 漏洞来投放代号为ProxyShellMiner的加密矿工病毒。
“在组织的网络上挖掘加密货币可能导致系统性能下降、功耗增加、设备过热,并可能停止服务,”研究人员说。“它允许威胁行为者进入更邪恶的目的。”
