网络犯罪组织 TeamTNT 再次出现,发起了一场针对运行 CentOS 操作系统的服务器的新加密劫持活动。据Group-IB称,攻击者正在使用暴力 SSH 攻击来渗透虚拟服务器。
一旦获得访问权限,黑客就会部署恶意脚本,禁用安全机制、删除日志、停止竞争挖矿进程并阻碍系统恢复。完成这一系列操作后,黑客会安装 Diamorphine rootkit,以隐藏恶意进程并确保对受感染主机进行远程访问。
研究人员有一定把握将检测到的攻击归因于 TeamTNT,因为在之前的行动中,这些攻击的策略和技术相似。TeamTNT 于 2019 年首次被发现在云和容器平台上进行非法加密货币挖掘。2021 年,该组织宣布解散,但自 2022 年以来,与该组织有关的新攻击报告越来越多。
阿里云的卸载脚本被恶意软件利用
https://update.aegis.aliyun.com/download/uninstall.sh
在最新的活动中,恶意脚本首先扫描受感染的系统以查找其他加密劫持操作的痕迹。然后,它会禁用 SELinux、AppArmor 和防火墙等安全系统。特别要注意与云提供商阿里巴巴相关的“aliyun.service”。如果检测到此服务,脚本会下载上面的脚本将其卸载,从而释放资源用于自己的操作。
如前所述,该脚本通过终止其他矿工的进程、删除其容器和删除相关图像来消除竞争对手。为了保持对服务器的控制,攻击者配置了 cron 作业,每 30 分钟从远程服务器下载更新。此外,他们还修改了 SSH 授权文件,添加了 root 帐户以实现持久访问。
为了掩盖踪迹,犯罪分子会改变文件属性、创建管理员访问账户并删除命令历史记录。
TeamTNT 的持续攻击生动地表明,网络空间的平静只是假象。黑客不会消失,他们会不断进化。每个服务器都是一个潜在目标,保护服务器需要持续警惕。
博客原文:https://www.group-ib.com/blog/teamtnt/
原文始发于微信公众号(独眼情报):【预警】新的恶意软件活动针对阿里云CentOS服务器
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论