【预警】新的恶意软件活动针对阿里云CentOS服务器

admin 2024年9月23日14:25:26评论7 views字数 837阅读2分47秒阅读模式
【预警】新的恶意软件活动针对阿里云CentOS服务器

网络犯罪组织 TeamTNT 再次出现,发起了一场针对运行 CentOS 操作系统的服务器的新加密劫持活动。据Group-IB称,攻击者正在使用暴力 SSH 攻击来渗透虚拟服务器。

一旦获得访问权限,黑客就会部署恶意脚本,禁用安全机制、删除日志、停止竞争挖矿进程并阻碍系统恢复。完成这一系列操作后,黑客会安装 Diamorphine rootkit,以隐藏恶意进程并确保对受感染主机进行远程访问。

研究人员有一定把握将检测到的攻击归因于 TeamTNT,因为在之前的行动中,这些攻击的策略和技术相似。TeamTNT 于 2019 年首次被发现在云和容器平台上进行非法加密货币挖掘。2021 年,该组织宣布解散,但自 2022 年以来,与该组织有关的新攻击报告越来越多。

阿里云的卸载脚本被恶意软件利用

https://update.aegis.aliyun.com/download/uninstall.sh

在最新的活动中,恶意脚本首先扫描受感染的系统以查找其他加密劫持操作的痕迹。然后,它会禁用 SELinux、AppArmor 和防火墙等安全系统。特别要注意与云提供商阿里巴巴相关的“aliyun.service”。如果检测到此服务,脚本会下载上面的脚本将其卸载,从而释放资源用于自己的操作。

如前所述,该脚本通过终止其他矿工的进程、删除其容器和删除相关图像来消除竞争对手。为了保持对服务器的控制,攻击者配置了 cron 作业,每 30 分钟从远程服务器下载更新。此外,他们还修改了 SSH 授权文件,添加了 root 帐户以实现持久访问。

为了掩盖踪迹,犯罪分子会改变文件属性、创建管理员访问账户并删除命令历史记录。

【预警】新的恶意软件活动针对阿里云CentOS服务器
【预警】新的恶意软件活动针对阿里云CentOS服务器

TeamTNT 的持续攻击生动地表明,网络空间的平静只是假象。黑客不会消失,他们会不断进化。每个服务器都是一个潜在目标,保护服务器需要持续警惕。

博客原文:https://www.group-ib.com/blog/teamtnt/

原文始发于微信公众号(独眼情报):【预警】新的恶意软件活动针对阿里云CentOS服务器

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月23日14:25:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【预警】新的恶意软件活动针对阿里云CentOS服务器https://cn-sec.com/archives/3197416.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息