网络犯罪组织 TeamTNT 再次出现，发起了一场针对运行 CentOS 操作系统的服务器的新加密劫持活动。据Group-IB称，攻击者正在使用暴力 SSH 攻击来渗透虚拟服务器。

一旦获得访问权限，黑客就会部署恶意脚本，禁用安全机制、删除日志、停止竞争挖矿进程并阻碍系统恢复。完成这一系列操作后，黑客会安装 Diamorphine rootkit，以隐藏恶意进程并确保对受感染主机进行远程访问。

研究人员有一定把握将检测到的攻击归因于 TeamTNT，因为在之前的行动中，这些攻击的策略和技术相似。TeamTNT 于 2019 年首次被发现在云和容器平台上进行非法加密货币挖掘。2021 年，该组织宣布解散，但自 2022 年以来，与该组织有关的新攻击报告越来越多。

阿里云的卸载脚本被恶意软件利用

https://update.aegis.aliyun.com/download/uninstall.sh

在最新的活动中，恶意脚本首先扫描受感染的系统以查找其他加密劫持操作的痕迹。然后，它会禁用 SELinux、AppArmor 和防火墙等安全系统。特别要注意与云提供商阿里巴巴相关的“aliyun.service”。如果检测到此服务，脚本会下载上面的脚本将其卸载，从而释放资源用于自己的操作。

如前所述，该脚本通过终止其他矿工的进程、删除其容器和删除相关图像来消除竞争对手。为了保持对服务器的控制，攻击者配置了 cron 作业，每 30 分钟从远程服务器下载更新。此外，他们还修改了 SSH 授权文件，添加了 root 帐户以实现持久访问。

为了掩盖踪迹，犯罪分子会改变文件属性、创建管理员访问账户并删除命令历史记录。

TeamTNT 的持续攻击生动地表明，网络空间的平静只是假象。黑客不会消失，他们会不断进化。每个服务器都是一个潜在目标，保护服务器需要持续警惕。

博客原文：https://www.group-ib.com/blog/teamtnt/