خانه » حملات جدید گروه TeamTNT برای استخراج ارز دیجیتال

حملات جدید گروه TeamTNT برای استخراج ارز دیجیتال

توسط Vulnerbyte
28 بازدید
گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حملات جدید گروه TeamTNT - استخراج ارز دیجیتال - محیط ابری

محققان Aqua Nautilus مدت‌هاست که حملات سایبری جدیدی را توسط گروه هک TeamTNT شناسایی کرده‌اند. TeamTNT یک گروه تهدید کننده فعال است که به علت حملات کریپتوجکینگ یا استخراج ارز دیجیتال شهرت یافته است. این گروه از منابع IT قربانیان برای استخراج غیرقانونی ارز دیجیتال استفاده می‌کند!

به نظر می‌رسد که TeamTNT در حال آماده شدن برای یک حمله بزرگ دیگر است که محیط‌های ابری را به منظور استخراج ارز دیجیتال و اجاره سرورهای هک شده به اشخاص ثالث هدف قرار می‌دهد!

این گروه در حال حاضر Docker daemonهای (داکر دیمون) هک شده را برای استقرار کریپتوماینرها، بدافزار Sliver و یک کرم سایبری با استفاده از سرورهای تحت نفوذ و Docker Hub به عنوان زیرساخت برای انتشار بدافزار خود هدف قرار داده است.

در هسته عملیات داکر، Docker daemon، یک سرویس پس‌زمینه است که بر روی سیستم عامل میزبان اجرا می‌شود و مسئول اجرای تمام Dockeها است. Docker daemon به درخواست‌های Docker API گوش می‌دهد و آبجکت‌های Docker مانند ایمیج‌ها، کانتینرها، شبکه‌ها و volume (حجم، ظرفیت)ها را مدیریت می‌کند.

TeamTNT در این حملات از قابلیت‌های محیط‌های ابری با الحاق نمونه‌های Docker هک شده به Docker Swarm و بهره گیری از Docker Hub برای ذخیره و توزیع بدافزار خود استفاده می‌کند. آن‌ها همچنین قدرت محاسباتی قربانیان را به اشخاص ثالث اجاره می‌دهند و عملاً به طور غیرمستقیم از استخراج ارز دیجیتال بدون دردسر مدیریت آن کسب درآمد می‌کنند.

 

زنجیره نفوذ عملیات گروه TeamTNT

گروه TeamTNT از وب سرورهای هک شده و رجیستری Docker Hub برای انتشار بدافزارها استفاده می‌کند و هدف آن استقرار کریپتوماینرها و اجاره قدرت محاسبات ابری به اشخاص ثالث است.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حملات جدید گروه TeamTNT - استخراج ارز دیجیتال - محیط ابری - Docker Hub - Docker daemon

حملات TeamTNT، همیشه دارای چهار عنصر کلیدی است به شرح زیر می‌باشند:

  • حرکت جانبی خارجی و لوکال: متدهای نفوذ و تشخیص تهاجمی با استفاده از ابزارهایی مانند Masscan و ZGrab و جستجوهای لوکال برای انتشار بدافزار در دیگر سرورهای شبکه هدف صورت می‌پذیرد.
  • ربودن منابع: همانطور که گفته شد این حملات بر روی استقرار کریپتوماینر و تکامل فروش زیرساخت‌های آسیب پذیر و تحت نفوذ به دیگران متمرکز است و از سربار اجرای عملیات استخراج ارز دیجیتال اجتناب می‌کند.
  • سرور فرماندهی و کنترل: TeamTNT در این حملات، از بدافزار Sliver استفاده می‌کند که ممکن است جایگزین بکدور Tsunami باشد.
  • ابزارهای ابری: TeamTNT همیشه با نرم افزار منبع باز بومی ابری (OSS[1]) و ابزارهای امنیتی تهاجمی (OST[2]) کار کرده است. این گروه در این حملات از Docker Hub برای ذخیره و انتشار بدافزار و از Sliver برای کنترل و بهره برداری از منابع استفاده می‌‌کند.

 

ایجاد دسترسی اولیه

دسترسی اولیه در این حملات با بهره‌برداری از Docker daemonهای هک شده در پورت‌های 2375، 2376، 4243 و 4244 ایجاد می‌شود. اسکریپت حمله که این پورت‌ها را اسکن می‌کند به عنوان Docker Gatling Gun شناخته می‌شود و طیف وسیعی از آدرس‌های IP  (حدود ۱۶.۷ میلیون) را هدف قرار می‌دهد.

اسکریپت حمله همچنین یک کانتینر از اکانت Docker Hub هک شده توسط TeamTNT را مستقر می‌کند و یک ایمیج لینوکس Alpine  را با دستورات مخرب اجرا می‌نماید. ایمیج، یک اسکریپت اولیه به نام TDGGinit.sh  را برای راه اندازی فعالیت‌های پس از بهره برداری اجرا می‌کند.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حملات سایبری- استخراج ارز دیجیتال - محیط ابری - Docker Hub - Docker daemon

بدافزار Sliver

ابزار جدید مورد استفاده در این حملات، بدافزار Sliver است که جایگزین بکدور Tsunami  می‌باشد و قبلا استفاده شده است. Sliver یک فریمورک متن باز، چند پلتفرمی، شبیه ساز مهاجم و مختص تیم قرمز (red-team) است.

ایمپلنت‌های Sliver از سرور فرماندهی و کنترل روی پروتکل‌های متعدد از جمله mTLS، WireGuard، HTTP(S) و DNS پشتیبانی می‌کنند و به صورت پویا با کلیدهای رمزگذاری نامتقارن هر باینری کامپایل می‌شوند. این ایمپلنت قابلیت اجرای دستورات و تحویل پیلودها از جمله اجرا در حافظه را دارد.

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حملات جدید گروه TeamTNT - استخراج ارز دیجیتال - محیط ابری

TeamTNT همچنین لیستی از قربانیان را در سرورهای وب خود نگهداری می‌کند و سرورهای هک شده را به یک Docker Swarm می‌افزاید. Docker Swarm یک ابزار خوشه‌بندی (کلاسترینگ) و ارکستراسیون بومی است که به گره‌های Docker اجازه می‌دهد تا به عنوان یک سیستم واحد مدیریت شوند.

در حملات فعلی، یک ایمیج کانتینر به دامنه solscan[.]life، همراه با مسیر Chimaera، که بخشی از کمپین قبلی TeamTNT در سال 2021 است، اشاره دارد.

 

سرورها و وب سایت‌های مخرب

TeamTNT چندین دامنه جدید از جمله solscan.life، solscan.one، solscan.online و solscan.store را در 24 سپتامبر 2024 ثبت کرده است. این دامنه‌ها، میزبان باینری‌ها و اسکریپت‌های مخربی هستند که از حملات آنها پشتیبانی می‌کنند.

یکی از مشاهدات جالب این است که دامنه solscan.life  دارای یک پورت باز 6670 است که معمولاً برای سرورهای IRC استفاده می‌شود. این نشان می‌دهد که TeamTNT ممکن است همچنان از بدافزار Tsunami  به‌ عنوان سرور C2 استفاده کند.

 

هک شدن اکانت Docker Hub

TeamTNT سابقه هک اکانت‌های Docker Hub را دارد. در این مورد، یک اکانت Docker Hub (nmlm99) که به نظر قانونی می‌رسد، هک شده است و TeamTNT از آن برای میزبانی بدافزار استفاده می‌کند. این اکانت طی ماه گذشته، با بارگذاری حدود 30 ایمیج که به دو دسته تقسیم می‌شوند، شاهد افزایش قابل توجهی در فعالیت‌ها بود:

  1. ایمیج های زیرساخت: 10 مورد از ایمیج‌ها برای استقرار بدافزار یا کرم‌های کامپیوتری به منظور شناسایی قربانیان جدید استفاده می‌شوند.
  2. ایمیج‌های حمله: 20 ایمیج‌ دیگر نیز بر روی اجرای کریپتوماینرها یا الحاق سرورهای قربانی به پلتفرم‌هایی مانند Mining Rig Rentals تمرکز دارند، جایی که قدرت محاسباتی در ازای ارز دیجیتال اجاره می‌شود. این گروه از ایمیج‌ها، شامل نرم افزارهای استخراج ارز دیجیتال XMRIG، T-Rex miner، CGMiner، BFGMiner و SGMiner می‌باشند.

بررسی‌ها نشان داده است که مهاجمان در طول این حملات از تکنیک‌های رایجی استفاده کرده‌اند که در تصویر زیر قابل مشاهده هستند:

گروه vulnerbyte - گروه والنربایت - vulnerbyte group - حملات سایبری- استخراج ارز دیجیتال - محیط ابری - Docker Hub - Docker daemon

سازمان‌ها می‌بایست از تنظیمات امنیتی مناسب برای نمونه‌های Docker خود اطمینان حاصل کنند و به طور مداوم بر فعالیت‌های غیرمعمول نظارت داشته باشند تا از چنین تهدیداتی در امان بمانند.

 

[1] open-source software

[2] offensive security tools

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید