Sliver-Malware

Die berüchtigte Cryptojacking-Gruppe TeamTNT scheint sich auf eine neue, groß angelegte Kampagne vorzubereiten, deren Schwerpunkt auf der Infiltration von Cloud-nativen Umgebungen liegt, um Kryptowährungen zu schürfen und kompromittierte Server an Dritte zu vermieten.

Ihre aktuelle Strategie umfasst:

• Ausnutzen exponierter Docker-Daemons zum Bereitstellen der Sliver-Malware.
• Ein Cyberwurm und Krypto-Miner.
• Sie nutzen sowohl kompromittierte Server als auch Docker Hub, um ihre bedrohliche Software zu verbreiten.

Diese Aktivitäten unterstreichen die kontinuierliche Weiterentwicklung der Angriffsmethoden von TeamTNT. Es passt sich kontinuierlich an, um komplexe, mehrstufige Angriffe zu starten, die darauf abzielen, Docker-Umgebungen zu kompromittieren und sie für einen Docker-Schwarm zu rekrutieren.

TeamTNT nutzt nicht nur Docker Hub zum Hosten und Verteilen seiner bösartigen Payloads, sondern vermietet auch die Rechenleistung seiner Opfer an Dritte zum unbefugten Mining von Kryptowährungen und erweitert so seine Einnahmequellen.

Anzeichen dieser Kampagne tauchten Anfang des Monats auf, als Forscher ungewöhnliche Versuche entdeckten, kompromittierte Docker-Instanzen in einem Docker-Schwarm zu bündeln. Während die Forscher zunächst zögerten, diese Angriffe direkt TeamTNT zuzuschreiben, glauben sie nun, dass die Operation weitaus umfangreicher ist als zunächst angenommen.

So funktionieren die neuen TeamTNT-Angriffe

Bei den Angriffen geht es darum, nicht authentifizierte, exponierte Docker-API-Endpunkte über Masscan und ZGrab zu erkennen, um Krypto-Miner einzusetzen und kompromittierte Infrastrukturen auf der Mining Rig Rentals-Plattform zur Miete anzubieten. Dadurch kann TeamTNT die direkte Verwaltung dieser Ressourcen vermeiden – was die Raffinesse ihres illegalen Geschäftsmodells verdeutlicht.

Dieser Prozess verwendet ein Angriffsskript, das Docker-Daemons auf den Ports 2375, 2376, 4243 und 4244 auf ungefähr 16,7 Millionen IP-Adressen scannt und dann einen Container mit einem Alpine Linux-Image bereitstellt, in das beschädigte Befehle eingebettet sind.

Das Image stammt von einem kompromittierten Docker Hub-Konto („nmlm99“) und führt ein erstes Shell-Skript namens „Docker Gatling Gun“ („TDGGinit.sh“) aus, um weitere Ausnutzungsaufgaben zu starten.

Eine wichtige Neuerung, die den Forschern aufgefallen ist, ist der Wechsel von TeamTNT von der Tsunami-Hintertür zum Sliver Command-and-Control (C2)-Framework zur Fernsteuerung infizierter Server, was eine Weiterentwicklung der Taktiken darstellt. Darüber hinaus verwendet die Gruppe weiterhin ihre charakteristischen Namenskonventionen, darunter Chimaera, TDGG und Bioset (für C2-Operationen), was bestätigt, dass es sich um eine typische TeamTNT-Kampagne handelt.

In dieser Kampagne verwendet TeamTNT auch AnonDNS (Anonymous DNS), einen Dienst, der die Anonymität und den Datenschutz bei der Auflösung von DNS-Abfragen zur Umleitung des Datenverkehrs auf ihren Webserver verbessern soll.

Cyberkriminelle verbreiten weiterhin Krypto-Miner

Die Ergebnisse kommen, während Forscher Licht auf eine neue Kampagne werfen, die einen gezielten Brute-Force-Angriff auf einen nicht genannten Kunden beinhaltete, um das Krypto-Mining-Botnetz Prometei auszuliefern.

Prometei verbreitet sich im System, indem es Schwachstellen im Remote Desktop Protocol (RDP) und Server Message Block (SMB) ausnutzt. Dies verdeutlicht die Bemühungen des Bedrohungsakteurs, Persistenz einzurichten, Sicherheitstools zu umgehen und durch Credential Dumping und Lateral Movement tieferen Zugriff auf das Netzwerk einer Organisation zu erlangen.

Die betroffenen Maschinen stellen eine Verbindung zu einem Mining-Pool-Server her, mit dem auf kompromittierten Maschinen ohne Wissen des Opfers Kryptowährungen (Monero) geschürft werden können.