Le célèbre groupe de hackers TeamTNT lance de nouvelles attaques dans le cloud pour le minage de crypto-monnaies
Le tristement célèbre groupe de cryptojacking connu sous le nom de TeamTNT semble se préparer à une nouvelle campagne à grande échelle ciblant les environnements cloud natifs pour l’extraction de crypto-monnaies et la location de serveurs piratés à des tiers.
« Le groupe cible actuellement les démons Docker exposés pour déployer le malware Sliver, un ver informatique, et des cryptomineurs, en utilisant des serveurs compromis et Docker Hub comme infrastructure pour diffuser leur malware », a déclaré Assaf Morag, directeur du renseignement sur les menaces chez Aqua, une société de sécurité cloud, dans un rapport publié vendredi.
L’activité d’attaque témoigne une fois de plus de la persistance de l’acteur de la menace et de sa capacité à faire évoluer ses tactiques et à lancer des assauts en plusieurs étapes dans le but de compromettre les environnements Docker et de les enrôler dans un essaim Docker.
En plus d’utiliser Docker Hub pour héberger et distribuer ses charges utiles malveillantes, TeamTNT a été observé en train d’offrir la puissance de calcul des victimes à d’autres parties pour l’extraction illicite de crypto-monnaie, diversifiant ainsi sa stratégie de monétisation.
Les rumeurs de la campagne d’attaque ont émergé plus tôt ce mois-ci lorsque Datadog a révélé des tentatives malveillantes visant à rassembler des instances Docker infectées dans un essaim Docker, laissant entendre qu’il pourrait s’agir de l’œuvre de TeamTNT, sans toutefois donner d’attribution formelle. Mais l’ampleur réelle de l’opération n’était pas claire jusqu’à présent.
Morag a déclaré à The Hacker News que Datadog « a trouvé l’infrastructure à un stade très précoce » et que leur découverte « a forcé l’acteur de la menace à modifier un peu la campagne ».
/>Les attaques impliquent l’identification des points de terminaison d’API Docker non authentifiés et exposés à l’aide de masscan et de ZGrab et leur utilisation pour le déploiement de cryptomineurs et la vente de l’infrastructure compromise à d’autres sur une plateforme de location minière appelée Mining Rig Rentals, déchargeant ainsi efficacement la tâche de devoir les gérer eux-mêmes, signe de la maturation du modèle commercial illicite.
Concrètement, cela se fait au moyen d’un script d’attaque qui recherche les démons Docker sur les ports 2375, 2376, 4243 et 4244 sur près de 16,7 millions d’adresses IP. Il déploie ensuite un conteneur exécutant une image Alpine Linux avec des commandes malveillantes.
L’image, récupérée à partir d’un compte Docker Hub compromis (« nmlm99 ») sous leur contrôle, exécute également un script shell initial nommé Docker Gatling Gun (« TDGGinit.sh ») pour lancer des activités post-exploitation.
Un changement notable observé par Aqua est le passage de la porte dérobée Tsunami au framework de commande et de contrôle (C2) open source Sliver pour contrôler à distance les serveurs infectés.
« De plus, TeamTNT continue d’utiliser ses conventions de dénomination établies, telles que Chimaera, TDGG et bioset (pour les opérations C2), ce qui renforce l’idée qu’il s’agit d’une campagne TeamTNT classique », a déclaré Morag.
« Dans cette campagne, TeamTNT utilise également anondns (AnonDNS ou Anonymous DNS est un concept ou un service conçu pour fournir l’anonymat et la confidentialité lors de la résolution des requêtes DNS), afin de pointer vers leur serveur Web. »
Ces résultats surviennent alors que Trend Micro a mis en lumière une nouvelle campagne impliquant une attaque par force brute ciblée contre un client anonyme pour diffuser le botnet de minage de crypto-monnaie Prometei .
« Prometei se propage dans le système en exploitant les vulnérabilités du protocole Remote Desktop Protocol (RDP) et du Server Message Block (SMB) », a déclaré la société , soulignant les efforts de l’acteur de la menace pour mettre en place la persistance, échapper aux outils de sécurité et obtenir un accès plus approfondi au réseau d’une organisation par le biais du vidage des informations d’identification et du mouvement latéral.
« Les machines affectées se connectent à un serveur de pool de minage qui peut être utilisé pour miner des crypto-monnaies (Monero) sur des machines compromises à l’insu de la victime. »