被称为TeamTNT 的加密劫持行动很可能再次出现,作为针对基于 CentOS 操作系统的虚拟专用服务器 (VPS) 基础设施的新活动的一部分。
Group-IB 研究人员 Vito Alfano 和 Nam Le Phuong在周三的一份报告中表示: “最初的访问是通过对受害者资产进行安全外壳 (SSH) 暴力攻击实现的,在此期间威胁行为者上传了恶意脚本。”
这家新加坡网络安全公司指出,该恶意脚本负责禁用安全功能、删除日志、终止加密货币挖掘过程并抑制恢复工作。
攻击链最终为部署Diamorphine 根工具包以隐藏恶意进程铺平了道路,同时还建立了对受感染主机的持久远程访问。
有信心将该活动归因于 TeamTNT,理由是观察到的策略、技术和程序 (TTP) 有相似之处。
TeamTNT 于 2019 年首次被发现,通过渗透云和容器环境进行非法加密货币挖掘活动。虽然威胁行为者于 2021 年 11 月宣布“彻底退出”,但公开报道揭露了黑客团队自2022 年 9 月以来开展的多次 活动。
与该组织相关的最新活动以 shell 脚本的形式表现出来,该脚本首先检查它是否之前被其他加密劫持操作感染,然后通过禁用SELinux、AppArmor 和防火墙来损害设备安全性。
该脚本会搜索与云提供商阿里巴巴相关的守护进程,名为 aliyun.service。如果检测到此守护进程,它会从 update.aegis.aliyun.com 下载一个 bash 脚本来卸载该服务。”
除了终止所有竞争的加密货币挖掘进程之外,该脚本还采取措施执行一系列命令,以消除其他矿工留下的痕迹,终止容器化进程,并删除与任何硬币矿工相关的部署图像。
此外,它通过配置 cron 作业来建立持久性,每 30 分钟从远程服务器(65.108.48[.]150)下载一次 shell 脚本,并修改“/root/.ssh/authorized_keys”文件以添加后门帐户。
它通过修改文件属性、创建具有 root 访问权限的后门用户以及擦除命令历史记录来隐藏其活动,从而锁定系统。威胁行为者不会留下任何机会;事实上,该脚本在 SSH 和防火墙服务配置中实施了各种更改。
原文始发于微信公众号(三沐数安):TeamTNT 新型加密劫持活动利用 Rootkit 攻击 CentOS 服务器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论