Недавно была обнаружена новая кампания TeamTNT, которая направлена на облачные инфраструктуры VPS на базе операционной системы CentOS. Злоумышленники начинают атаку с помощью метода грубой силы на SSH и загрузки вредоносных скриптов. Вредоносный скрипт отключает функции безопасности, удаляет журналы и изменяет системные файлы для поиска существующих майнеров. Затем скрипт устанавливает руткит для получения root-привилегий, блокирует систему и стирает историю команд, чтобы скрыть свои действия. Команда DFIR Group-IB выявила признаки этой новой кампании и провела расследование, чтобы лучше понять тактики и методы TeamTNT.
TeamTNT APT
Злоумышленники постоянно разрабатывают новые методы для вторжения в компьютерные системы и получения доступа к конфиденциальным данным. В последние годы развитие информационных технологий привело к появлению новых решений, которые значительно упростили и улучшили работу системных администраторов и компаний в Интернете. Облачные сервисы, такие как Amazon Web Services, Microsoft Azure и Google Cloud, предоставляют компаниям возможность создавать и разворачивать новые сервисы практически мгновенно. Docker и Kubernetes представили новую парадигму микросервисной архитектуры, позволяющую разрабатывать и внедрять сложные решения с помощью модульных компонентов.
Однако развитие технологий также способствовало появлению новых угроз безопасности. Злоумышленники нашли способы получить доступ к облачным ресурсам компаний, что позволяет им расширять свое влияние и вредоносную деятельность. В 2019 году появился новый злоумышленник, известный как TeamTNT, который начал кампанию нападений на уязвимые публичные экземпляры Redis, Kubernetes и Docker. Злоумышленник использовал различные методы, такие как кража учетных данных, установка бэкдоров и майнинг криптовалюты, чтобы получить контроль над системами жертв. Однако в 2022 году TeamTNT внезапно исчез.
Indicators of Compromise
IPv4
- 65.108.48.150
