VietNetwork.Vn

Hoạt động đào tiền điện tử có tên TeamTNT có khả năng đã tái xuất hiện như một phần của chiến dịch mới nhắm vào cơ sở hạ tầng Máy chủ riêng ảo (VPS) dựa trên hệ điều hành CentOS.

Các nhà nghiên cứu Vito Alfano và Nam Le Phuong của Group-IB cho biết trong báo cáo hôm thứ Tư: "Việc truy cập ban đầu được thực hiện thông qua cuộc tấn công brute force Secure Shell (SSH) vào tài sản của nạn nhân, trong đó kẻ tấn công đã tải lên một tập lệnh độc hại".


Công ty an ninh mạng của Singapore lưu ý rằng tập lệnh độc hại này có chức năng vô hiệu hóa các tính năng bảo mật, xóa nhật ký, chấm dứt quá trình khai thác tiền điện tử và cản trở các nỗ lực khôi phục.

Cuối cùng, chuỗi tấn công mở đường cho việc triển khai rootkit Diamorphine để che giấu các tiến trình độc hại, đồng thời thiết lập quyền truy cập từ xa liên tục vào máy chủ bị xâm phạm.

Chiến dịch này được cho là do TeamTNT thực hiện với mức độ tin cậy vừa phải, trích dẫn những điểm tương đồng trong chiến thuật, kỹ thuật và quy trình (TTP) được quan sát thấy.

TeamTNT lần đầu tiên được phát hiện ngoài tự nhiên vào năm 2019, thực hiện các hoạt động khai thác tiền điện tử bất hợp pháp bằng cách xâm nhập vào môi trường đám mây và container. Trong khi tác nhân đe dọa này tạm biệt vào tháng 11 năm 2021 bằng cách tuyên bố "bỏ cuộc sạch sẽ", báo cáo công khai đã phát hiện ra một số chiến dịch do nhóm tin tặc thực hiện kể từ tháng 9 năm 2022.

Hoạt động mới nhất liên quan đến nhóm này thể hiện dưới dạng một tập lệnh shell kiểm tra xem trước đó nó có bị nhiễm các hoạt động đào tiền điện tử khác hay không, sau đó nó sẽ làm suy yếu tính bảo mật của thiết bị bằng cách vô hiệu hóa SELinux, AppArmor và tường lửa.


"Tập lệnh tìm kiếm một daemon liên quan đến nhà cung cấp đám mây Alibaba, có tên là aliyun.service", các nhà nghiên cứu cho biết. "Nếu phát hiện ra daemon này, nó sẽ tải xuống một tập lệnh bash từ   Đăng nhập để xem liên kết để gỡ cài đặt dịch vụ".

Bên cạnh việc tiêu diệt tất cả các quy trình khai thác tiền điện tử cạnh tranh, tập lệnh còn thực hiện các bước để thực hiện một loạt lệnh nhằm xóa dấu vết do những thợ đào khác để lại, chấm dứt các quy trình chứa trong container và xóa hình ảnh được triển khai liên quan đến bất kỳ thợ đào tiền điện tử nào.

Hơn nữa, nó thiết lập tính bền bỉ bằng cách cấu hình các tác vụ cron tải xuống tập lệnh shell sau mỗi 30 phút từ máy chủ từ xa (65.108.48[.]150) và sửa đổi tệp "/root/.ssh/authorized_keys" để thêm tài khoản cửa sau.

"Nó khóa hệ thống bằng cách sửa đổi các thuộc tính tệp, tạo một người dùng cửa sau có quyền truy cập root và xóa lịch sử lệnh để ẩn các hoạt động của nó", các nhà nghiên cứu lưu ý. "Kẻ đe dọa không để bất kỳ sự ngẫu nhiên nào; thực tế, tập lệnh thực hiện nhiều thay đổi khác nhau trong cấu hình dịch vụ tường lửa và SSH".