VietNetwork.Vn

Nhóm hacker khét tiếng TeamTNT dường như đang chuẩn bị cho một chiến dịch quy mô lớn mới nhắm vào các môi trường đám mây để khai thác tiền điện tử và cho thuê máy chủ bị xâm phạm cho bên thứ ba.

Assaf Morag, giám đốc tình báo mối đe dọa tại công ty bảo mật đám mây Aqua, cho biết trong một báo cáo được công bố vào thứ sáu: "Nhóm này hiện đang nhắm mục tiêu vào các daemon Docker bị lộ để triển khai phần mềm độc hại Sliver, một loại sâu mạng và phần mềm đào tiền điện tử, sử dụng các máy chủ bị xâm phạm và Docker Hub làm cơ sở hạ tầng để phát tán phần mềm độc hại của chúng".


Hoạt động tấn công này một lần nữa chứng minh sự kiên trì của kẻ tấn công và khả năng phát triển chiến thuật cũng như thực hiện nhiều cuộc tấn công nhiều giai đoạn với mục tiêu xâm phạm môi trường Docker và đưa chúng vào Docker Swarm.

Bên cạnh việc sử dụng Docker Hub để lưu trữ và phân phối các phần mềm độc hại, TeamTNT còn bị phát hiện cung cấp sức mạnh tính toán của nạn nhân cho các bên khác để khai thác tiền điện tử bất hợp pháp, đa dạng hóa chiến lược kiếm tiền của mình.

Những lời đồn về chiến dịch tấn công đã xuất hiện vào đầu tháng này khi Datadog tiết lộ những nỗ lực độc hại nhằm dồn các phiên bản Docker bị nhiễm vào Docker Swarm, ám chỉ rằng đó có thể là công việc của TeamTNT, đồng thời cũng không đưa ra lời quy kết chính thức. Nhưng cho đến bây giờ, quy mô đầy đủ của hoạt động này vẫn chưa được làm rõ.

Morag nói với The Hacker News rằng Datadog "đã phát hiện ra cơ sở hạ tầng ở giai đoạn rất sớm" và phát hiện của họ "buộc kẻ tấn công phải thay đổi chiến dịch một chút".


Các cuộc tấn công bao gồm việc xác định các điểm cuối API Docker chưa được xác thực và bị lộ bằng masscan và ZGrab, sau đó sử dụng chúng để triển khai công cụ đào tiền điện tử và bán cơ sở hạ tầng bị xâm phạm cho những người khác trên nền tảng cho thuê khai thác có tên là Mining Rig Rentals, về cơ bản là chuyển giao công việc phải tự quản lý chúng, một dấu hiệu cho thấy sự trưởng thành của mô hình kinh doanh bất hợp pháp.

Cụ thể, điều này được thực hiện bằng một tập lệnh tấn công quét các daemon Docker trên các cổng 2375, 2376, 4243 và 4244 trên gần 16,7 triệu địa chỉ IP. Sau đó, nó triển khai một container chạy hình ảnh Alpine Linux với các lệnh độc hại.

Hình ảnh này được lấy từ tài khoản Docker Hub bị xâm phạm ("nmlm99") do chúng kiểm soát, cũng thực thi một tập lệnh shell ban đầu có tên là Docker Gatling Gun ("TDGGinit.sh") để khởi chạy các hoạt động sau khi khai thác.

Một thay đổi đáng chú ý mà Aqua quan sát được là sự chuyển dịch từ cửa hậu Tsunami sang nền tảng chỉ huy và kiểm soát (C2) mã nguồn mở Sliver để chỉ huy từ xa các máy chủ bị nhiễm.

Morag cho biết: "Ngoài ra, TeamTNT vẫn tiếp tục sử dụng các quy ước đặt tên đã có sẵn của họ, chẳng hạn như Chimaera, TDGG và bioset (cho các hoạt động C2), điều này củng cố thêm ý tưởng rằng đây là một chiến dịch kinh điển của TeamTNT".

"Trong chiến dịch này, TeamTNT cũng sử dụng anondns (AnonDNS hay Anonymous DNS là một khái niệm hoặc dịch vụ được thiết kế để cung cấp tính ẩn danh và riêng tư khi giải quyết các truy vấn DNS) để trỏ đến máy chủ web của họ."

Những phát hiện này được đưa ra khi Trend Micro làm sáng tỏ một chiến dịch mới liên quan đến cuộc tấn công bằng vũ lực có mục tiêu vào một khách hàng giấu tên để triển khai mạng bot khai thác tiền điện tử Prometei.

"Prometei lây lan trong hệ thống bằng cách khai thác lỗ hổng trong Giao thức máy tính từ xa (RDP) và Khối tin nhắn máy chủ (SMB)", công ty cho biết, đồng thời nhấn mạnh những nỗ lực của kẻ tấn công trong việc thiết lập tính dai dẳng, né tránh các công cụ bảo mật và truy cập sâu hơn vào mạng của tổ chức thông qua việc đánh cắp thông tin xác thực và di chuyển ngang hàng.

"Các máy bị ảnh hưởng sẽ kết nối với máy chủ khai thác có thể được sử dụng để khai thác tiền điện tử (Monero) trên các máy bị xâm phạm mà nạn nhân không hề hay biết."