TeamTNT aggiorna le sue tattiche di attacco

TeamTNT ha ora versioni aggiornate dei script shell dannosi, che possono essere eseguiti in locale, in container o altre istanze Linux, per estrarre criptovaluta da AWS.

Gli script shell di TeamTNT

Insieme agli script di stealer di credenziali, alcuni di TeamTNT (secondo un report di Cisco Talos) si concentrano sul mining di criptovalute, sulla persistenza e sul movimento laterale scoprendo e implementando tutti ogni pod Kubernetes in una rete locale.

  • I nomi di alcuni di questi script sono Kubernetes_root_PayLoad_2[.]sh, Kubernetes_root_PayLoad_1[.]sh, init[.]sh, init_main_root[.]sh e Setup_Rainbow_miner[.]sh.
  • Uno degli script viene fornito con le credenziali di accesso per il server di distribuzione principale e un altro con una chiave API che potrebbe facilitare l’accesso remoto a una sessione terminale condivisa.
Lo script con i dati server [Immagine da Cisco Talos]

Inoltre, alcuni script hanno funzioni di elusione della difesa per gli endpoints e i server volte a disabilitare gli strumenti di sicurezza cloud di Alibaba, Tencent Cloud Monitor e BMC Helix Cloud Security di terze parti.

Campagna simile

Recentemente, Crowdstrike ha riportato una scoperta sulla botnet LemonDuck, come attacco mirato a Docker per estrarre criptovaluta su sistemi Linux.

  • Allo stesso modo, evita il rilevamento prendendo di mira il servizio di monitoraggio di Alibaba Cloud e disabilitandolo in modo simile a TeamTNT.
  • Esegue un’operazione di mining anonimo utilizzando pool di proxy per nascondere gli indirizzi del portafoglio.

I criminali informatici ora prendono di mira gli ambienti cloud e TeamTNT è già un attore di spicco noto per aver preso di mira infrastrutture cloud. Questo dovrebbe mettere in guarda le tecnologie basate su questo paradigma, per le aziende ma anche per gli enti pubblici, il cui futuro sembra sempre più segnato da implementazioni cloud. La digitalizzazione del Paese può essere, se non vengono prese le giuste misure di sicurezza, un altro rischio da affrontare e gli operatori criminali stanno specializzando le loro risorse proprio sul cloud.

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Want to comment on? Turn on the discussion

Back to top