Исследователи из Aqua Nautilus обнаружили новую кампанию известной хакерской группы TeamTNT, направленную на облачные среды с использованием открытых демонов Docker.
TeamTNT APT
Группа использует Docker Hub и взломанные серверы в качестве основы для распространения криптоминеров, кибер-червя и вредоносного ПО Sliver. TeamTNT также монетизирует взломанные серверы, сдавая их вычислительные мощности в аренду третьим лицам для майнинга криптовалют, что снижает необходимость управлять собственными операциями по майнингу.
Группа перешла от традиционного бэкдора Tsunami к Sliver, который поддерживает множество коммуникационных протоколов и обладает повышенной скрытностью. Кампания получает доступ, эксплуатируя демоны Docker на определенных портах, а затем развертывает вредоносный образ Docker с аккаунта TeamTNT на Docker Hub. Известная как Docker Gatling Gun, эта атака нацелена на миллионы IP-адресов и устанавливает вредоносное ПО на экземпляры Docker. Инфраструктура TeamTNT также использует анонимный DNS (AnonDNS) для маскировки местоположения серверов.
Тактика группы в этой кампании повторяет предыдущие: она использует устоявшиеся соглашения об именовании и знакомые инструменты, такие как Chimaera, TDGG и Docker Swarm, для управления скомпрометированными узлами. Кроме того, TeamTNT недавно зарегистрировала несколько доменов для размещения вредоносного ПО, что свидетельствует о масштабном расширении ее операций.
Indicators of Compromise
Domains
- devnull.anondns.net
- solscan.life
- solscan.one
- solscan.online
- solscan.store
- teamtnt.red
MD5
- 0bc189bb53c9c92322e7b2fd6ac68bd7
- 64c3ac5a0f4318f64f438e78a6b42d40
- 8b553728900ba2e45b784252a1ff6d17
- 9dc2819c176c60e879f28529b1b08da1
- a733160e0603207d8328ddb025c43d42
- b62ce36054a7e024376b98df7911a5a7
- db2fbe4d00b222cab6dd00cdfdd38e31
- fdf9c2f7221de9f3567fc094d5e759a9
