Sliver Malware

悪名高いクリプトジャッキンググループ TeamTNT は、クラウドネイティブ環境に侵入して暗号通貨をマイニングし、侵害されたサーバーを第三者に貸し出すことに重点を置いた新たな大規模なキャンペーンの準備を進めているようです。

彼らの現在の戦略は次のとおりです。

• 公開された Docker デーモンを悪用して Sliver マルウェアを展開します。
• サイバーワームと暗号通貨マイナー。
• 侵害されたサーバーと Docker Hub の両方を利用して、脅威となるソフトウェアを拡散します。

これらの活動は、TeamTNT の攻撃手法が継続的に進化していることを浮き彫りにしています。TeamTNT は、Docker 環境を侵害し、Docker Swarm に組み込むことを目的とした、複雑で多段階の攻撃を仕掛けるために、常に適応しています。

TeamTNT は、Docker Hub を使用して悪意のあるペイロードをホストおよび配布するだけでなく、被害者の計算能力を他の当事者に貸し出して不正な暗号通貨マイニングを行い、収益源を拡大していることが確認されています。

このキャンペーンの兆候は、研究者らが今月初め、侵害された Docker インスタンスを Docker Swarm にクラスター化する異例の取り組みを特定したときに表面化しました。当初、研究者らはこれらの攻撃が TeamTNT によるものであると断定することに躊躇していましたが、現在では、この活動は当初考えられていたよりもはるかに広範囲に及ぶものと考えています。

新しいTeamTNT攻撃の仕組み

この攻撃では、masscan と ZGrab を通じて認証されていない公開された Docker API エンドポイントを検出し、暗号通貨マイナーを展開して、侵害されたインフラストラクチャを Mining Rig Rentals プラットフォームにレンタル用にリストします。これにより、TeamTNT はこれらのリソースを直接管理する必要がなくなり、その違法ビジネス モデルの巧妙さが浮き彫りになります。

このプロセスでは、約 1,670 万の IP アドレスにわたってポート 2375、2376、4243、4244 上の Docker デーモンをスキャンし、破損したコマンドが埋め込まれた Alpine Linux イメージを含むコンテナを展開する攻撃スクリプトを使用します。

侵害された Docker Hub アカウント (「nmlm99」) から取得されたこのイメージは、Docker Gatling Gun (「TDGGinit.sh」) と呼ばれる初期シェル スクリプトを実行して、さらなるエクスプロイト タスクを開始します。

研究者が注目した重要なアップデートは、TeamTNT が感染したサーバーのリモート制御に Tsunami バックドアから Sliver コマンド アンド コントロール (C2) フレームワークを採用したことです。これは戦術の進化を示しています。さらに、このグループは Chimaera、TDGG、bioset (C2 操作用) などの特徴的な命名規則を引き続き使用しており、これが典型的な TeamTNT キャンペーンであることを裏付けています。

このキャンペーンでは、TeamTNT は、DNS クエリを解決してトラフィックを Web サーバーにリダイレクトする際に匿名性とプライバシーを強化するように設計されたサービスである AnonDNS (匿名 DNS) も利用しています。

サイバー犯罪者は暗号通貨マイナーの拡散を続ける

この発見は、 Prometei仮想通貨マイニング ボットネットを配信するために名前の知られていない顧客を標的としたブルートフォース攻撃を含む新しいキャンペーンを研究者が明らかにしたことを受けて発表された。

Prometei は、リモート デスクトップ プロトコル (RDP) とサーバー メッセージ ブロック (SMB) の脆弱性を悪用してシステム内に拡散し、脅威アクターが永続性を確立し、セキュリティ ツールを回避し、資格情報のダンプと横方向の移動を通じて組織のネットワークへのより深いアクセスを獲得しようとしていることを浮き彫りにします。

影響を受けたマシンはマイニング プール サーバーに接続し、被害者の知らないうちに侵害されたマシン上で暗号通貨 (Monero) をマイニングできるようになります。