تطلق مجموعة Hacker Group TeamTNT هجمات سحابية جديدة لتعدين العملات المشفرة
يبدو أن مجموعة التعدين الخفي سيئة السمعة المعروفة باسم TeamTNT تستعد لحملة جديدة واسعة النطاق تستهدف البيئات السحابية الأصلية لتعدين العملات المشفرة وتأجير الخوادم المخترقة لأطراف ثالثة.
وقال عساف موراج، مدير استخبارات التهديدات في شركة الأمن السحابي Aqua: “تستهدف المجموعة حاليًا برامج Docker المكشوفة لنشر البرامج الضارة Sliver، والدودة السيبرانية، وأدوات التعدين المشفرة، باستخدام خوادم مخترقة وDocker Hub كبنية تحتية لنشر برامجها الضارة”. قال في تقرير نشر الجمعة.
يعد نشاط الهجوم مرة أخرى شهادة على إصرار جهة التهديد وقدرتها على تطوير تكتيكاتها وشن هجمات متعددة المراحل بهدف اختراق بيئات Docker وتجنيدها في Docker Swarm.
إلى جانب استخدام Docker Hub لاستضافة وتوزيع حمولاتها الضارة، لوحظ أن TeamTNT يقدم القوة الحسابية للضحايا لأطراف أخرى للتعدين غير المشروع للعملات المشفرة، وتنويع استراتيجية تحقيق الدخل الخاصة به.
ظهرت شائعات عن حملة الهجوم في وقت سابق من هذا الشهر عندما كشفت Datadog عن محاولات خبيثة لتجميع مثيلات Docker المصابة في Docker Swarm، في إشارة إلى أنها قد تكون من عمل TeamTNT، في حين توقفت أيضًا عن إسنادها بشكل رسمي. لكن المدى الكامل للعملية لم يتضح حتى الآن.
وقال موراج لصحيفة The Hacker News إن Datadog “وجدت البنية التحتية في مرحلة مبكرة جدًا” وأن اكتشافها “أجبر ممثل التهديد على تغيير الحملة قليلاً”.
تستلزم الهجمات تحديد نقاط نهاية Docker API غير المصادق عليها والمكشوفة باستخدام Masscan وZGrab واستخدامها لنشر cryptominer وبيع البنية التحتية المخترقة للآخرين على منصة تأجير تعدين تسمى Mining Rig Rentals، مما يؤدي بشكل فعال إلى تفريغ مهمة الاضطرار إلى إدارتها بأنفسهم، وهي إشارة نضوج نموذج الأعمال غير المشروعة.
على وجه التحديد، يتم تنفيذ ذلك عن طريق برنامج نصي للهجوم يقوم بالبحث عن برامج Docker على المنافذ 2375 و2376 و4243 و4244 عبر ما يقرب من 16.7 مليون عنوان IP. ويقوم بعد ذلك بنشر حاوية تقوم بتشغيل صورة Alpine Linux بأوامر ضارة.
الصورة، التي تم استردادها من حساب Docker Hub المخترق (“nmlm99”) الخاضع لسيطرتهم، تنفذ أيضًا نصًا برمجيًا أوليًا يسمى Docker Gatling Gun (“TDGGinit.sh”) لبدء أنشطة ما بعد الاستغلال.
أحد التغييرات الملحوظة التي لاحظتها Aqua هو التحول من الباب الخلفي لـ Tsunami إلى إطار عمل Sliver للقيادة والتحكم (C2) مفتوح المصدر للتحكم عن بعد في الخوادم المصابة.
وقال موراج: “بالإضافة إلى ذلك، تواصل TeamTNT استخدام اصطلاحات التسمية المعمول بها، مثل Chimaera وTDGG وbioset (لعمليات C2)، مما يعزز فكرة أن هذه حملة TeamTNT كلاسيكية”.
“في هذه الحملة، يستخدم TeamTNT أيضًا anondns (AnonDNS أو Anonymous DNS هو مفهوم أو خدمة مصممة لتوفير إخفاء الهوية والخصوصية عند حل استعلامات DNS)، من أجل الإشارة إلى خادم الويب الخاص بهم.”
وتأتي هذه النتائج في الوقت الذي سلطت فيه Trend Micro الضوء على حملة جديدة تضمنت هجومًا مستهدفًا بالقوة الغاشمة ضد عميل لم يذكر اسمه لتوصيل شبكة الروبوتات الخاصة بالتعدين المشفرة من Prometei.
“تنتشر شركة Prometei في النظام من خلال استغلال الثغرات الأمنية في بروتوكول سطح المكتب البعيد (RDP) وحظر رسائل الخادم (SMB)،” الشركة قال، مع تسليط الضوء على الجهود التي يبذلها ممثل التهديد في إنشاء الثبات والتهرب من الأدوات الأمنية والحصول على وصول أعمق إلى شبكة المؤسسة من خلال تفريغ بيانات الاعتماد والحركة الجانبية.
“تتصل الأجهزة المتضررة بخادم مجمع التعدين الذي يمكن استخدامه لتعدين العملات المشفرة (Monero) على الأجهزة المخترقة دون علم الضحية.”
إرسال التعليق