Sliver Malware

Le célèbre groupe de cryptojacking TeamTNT semble se préparer à une nouvelle campagne à grande échelle visant à infiltrer des environnements cloud natifs pour exploiter des cryptomonnaies et louer des serveurs compromis à des tiers.

Leur stratégie actuelle consiste à :

• Exploiter les démons Docker exposés pour déployer le malware Sliver.
• Un ver cybernétique et un crypto-mineur.
• Exploitant à la fois les serveurs compromis et Docker Hub pour diffuser leurs logiciels menaçants.

Ces activités mettent en évidence l'évolution constante des méthodes d'attaque de TeamTNT. Elle s'adapte en permanence pour lancer des attaques complexes en plusieurs étapes visant à compromettre les environnements Docker et à les recruter dans un essaim Docker.

En plus d'utiliser Docker Hub pour héberger et distribuer ses charges utiles malveillantes, TeamTNT a été vu en train de louer la puissance de calcul de ses victimes à d'autres parties pour l'extraction non autorisée de cryptomonnaies, élargissant ainsi ses sources de revenus.

Les signes de cette campagne sont apparus plus tôt ce mois-ci lorsque des chercheurs ont identifié des efforts peu orthodoxes visant à regrouper des instances Docker compromises dans un essaim Docker. Bien qu'au départ hésitants à attribuer directement ces attaques à TeamTNT, les chercheurs pensent désormais que l'opération est bien plus étendue qu'on ne le pensait initialement.

Comment fonctionnent les nouvelles attaques de TeamTNT

Les attaques impliquent la détection de points de terminaison d'API Docker non authentifiés et exposés via masscan et ZGrab pour déployer des crypto-mineurs et répertorier les infrastructures compromises à louer sur la plateforme Mining Rig Rentals, permettant à TeamTNT d'éviter de gérer directement ces ressources, soulignant ainsi la sophistication de leur modèle commercial illicite.

Ce processus utilise un script d'attaque qui analyse les démons Docker sur les ports 2375, 2376, 4243 et 4244 sur environ 16,7 millions d'adresses IP, puis déploie un conteneur avec une image Alpine Linux intégrée avec des commandes corrompues.

L'image, provenant d'un compte Docker Hub compromis (« nmlm99 »), exécute un script shell initial connu sous le nom de Docker Gatling Gun (« TDGGinit.sh ») pour lancer d'autres tâches d'exploitation.

Les chercheurs ont noté une mise à jour importante : le passage de TeamTNT de la porte dérobée Tsunami au cadre de commande et de contrôle Sliver (C2) pour le contrôle à distance des serveurs infectés, ce qui démontre une évolution des tactiques. De plus, le groupe continue d'utiliser ses conventions de dénomination de signature, notamment Chimaera, TDGG et bioset (pour les opérations C2), confirmant qu'il s'agit d'une campagne typique de TeamTNT.

Dans cette campagne, TeamTNT utilise également AnonDNS (Anonymous DNS), un service conçu pour améliorer l'anonymat et la confidentialité lors de la résolution des requêtes DNS pour rediriger le trafic vers leur serveur Web.

Les cybercriminels continuent de diffuser des crypto-mineurs

Ces résultats surviennent alors que les chercheurs mettent en lumière une nouvelle campagne impliquant une attaque par force brute ciblée contre un client anonyme pour diffuser le botnet de crypto-minage Prometei .

Prometei se propage dans le système en exploitant les vulnérabilités du protocole RDP (Remote Desktop Protocol) et du Server Message Block (SMB), mettant en évidence les efforts de l'acteur de la menace pour mettre en place la persistance, échapper aux outils de sécurité et obtenir un accès plus approfondi au réseau d'une organisation via le vidage des informations d'identification et le mouvement latéral.

Les machines affectées se connectent à un serveur de pool de minage, qui peut être utilisé pour miner des crypto-monnaies (Monero) sur des machines compromises à l'insu de la victime.