Aqua Security TeamTNT Docker криптовалюта криптомайнинг
Возможно, история группировки не закончилась в 2021 году?
В начале сентября этого года специалисты из AquaSec обнаружили свежие следы TeamTNT на своих ханипотах. Пускай зафиксированные атаки и были разными, но по стилю и набору используемых инструментов они очень напоминали TeamTNT. Это навело специалистов на печальные мысли – возможно, группировка снова в деле.
Всего эксперты заметили три разных вида атаки:
Атака кенгуру. Она названа так из-за использования метода кенгуру Полларда. Эта атака нацелена на использование вычислительных мощностей жертвы для взлома алгоритма на эллиптических кривых (ECDLP secp256k1). Эксперты отмечают, что если алгоритм удастся взломать, то хакеры получат возможность получить ключи от любого криптокошелька. Работает все так: злоумышленники ищут уязвимые демоны Docker, затем разворачивают на них стандартный образ контейнера AlpineOS, который потом используется для загрузки shell-скрипта в режиме командной строки на C&C.
Атака Cronb. В ходе нее используются руткиты, задания Cron, инструменты, необходимые для бокового перемещения в системе, а также развертываются криптомайнеры. Новыми элементами в этой атаке стали свежие адреса C&C-инфраструктуры и усложненный механизм обмена данными.
Атака What Will Be. Она нацелена на демоны Docker с образами Alpine и shell-файлами. Обнаружив цель, злоумышленники загружают и выполняют дополнительные скрипты, руткиты и криптомайнер, а также добавляют задания Cron и выполняют SSH-сканирование сети. Кроме того, в ходе атаки злоумышленники используют новый прием, вводя его через скрипты. Он позволяет хакерам заставить криптомайнер работать еще эффективнее путем изменения регистров процессора, характерных для его архитектуры.
Независимо от того, кто проводит эти атаки – TeamTNT или другая группировка, эксперты рекомендуют организациям следует усилить защиту облака, укрепить конфигурацию Docker и применить все доступные обновления безопасности, пока не стало слишком поздно.