About Teletype
Join
GigaTap
@gigatap
October 28, 2024

💀 Криптожадные твари: TeamTNT вновь выходит на тропу войны, теперь против облаков и Docker 🐋⛏️

Представьте себе: ваш облачный сервер, который вы с любовью настраивали, вдруг превращается в заложника. Всё ваше железо, все мощности идут на таинственную ферму для майнинга криптовалюты, а ваш сервер становится ареной для чужих грязных дел. Знакомьтесь, TeamTNT — киберпреступники, которые качают ресурсы как пылесос и норовят на этом заработать. И их цели — ваши Docker-окружения и вся инфраструктура, которую они только смогут перехватить. 🌩️

Что такое TeamTNT и их новая цель? 🎯

TeamTNT — это известная группа киберзлодеев, которая специализируется на криптоджекинге, то есть использовании чужих серверов для майнинга криптовалюты. Теперь они взяли на прицел облачные сервисы и Docker-среды. Их главная цель — превращать серверы жертв в криптомайнинговые машины, а заодно сдавать их в аренду другим любителям лёгкой наживы.

Последняя кампания TeamTNT показывает всё изящество их грязной игры: они используют экспонированные Docker-демоны, продвинутый малварь Sliver и даже управляют заражёнными серверами через Docker Hub, чтобы развернуть там свои трояны и майнеры. 😈

Как работает эта атака? 🚀

Все начинается с поиска слабых мест. TeamTNT использует такие утилиты, как masscan и ZGrab, чтобы сканировать интернет на предмет открытых Docker API и искать уязвимые порты (2375, 2376, 4243, 4244). Как только они находят подходящий сервер, они запускают контейнер с Alpine Linux и подсовывают ему вредоносные команды. Но это только начало!

  1. Скрипт TDGGinit.sh 🐍 — после развёртывания контейнера запускается этот скрипт, который открывает двери для последующих действий. Как в старом-добром кино про ограбления, сначала нужен «вход», а потом начинается настоящий беспредел.
  2. Смена Tsunami на Sliver ⚔️ — раньше TeamTNT использовали бэкдор Tsunami, но теперь перешли на Sliver, мощную open-source C2-платформу для командования заражёнными серверами. Это обновление даёт им гораздо больше гибкости и контроля.
  3. Атака через DNS 🌐 — для большей скрытности TeamTNT применяют «анонимный DNS» (anondns), чтобы никто не смог отследить их маршруты и сервера. Это как искать призрака в темной комнате.

И это только начало. Все зараженные машины TeamTNT объединяют в Docker Swarm, превращая их в сеть подконтрольных майнинг-серверов, которые без устали зарабатывают криптовалюту для преступников. 💸

Уникальные «фишки» TeamTNT 💀

Каждая атака TeamTNT — это нечто вроде подписи художника. Вот их «коронные приёмы» на этой волне атак:

  • Chimaera, TDGG, bioset 🧩 — уникальные коды имен для операций, которые TeamTNT использует для своих C2-команд. Эти «псевдонимы» указывают, что атаку провели именно они.
  • Docker Hub для распространения 🐳 — зловреды TeamTNT загружаются в Docker Hub, откуда потом скачиваются на жертвы. Это делает атаку ещё более скрытной и распространенной.
  • Торговля мощностями жертв 💵 — TeamTNT не просто добывают крипту на ваших серверах. Они пошли дальше: продают вычислительные ресурсы на платформе Mining Rig Rentals. Это значит, что ваши мощности могут использоваться другими криптомайнерами, которым TeamTNT сдаёт их в аренду.

Кто следующий? 🚨

Каждый Docker-демон, не защищённый должным образом, — это потенциальная жертва. TeamTNT ищут не только крупные компании с мощной инфраструктурой, но и небольшие сервера, которыми управляют малые бизнесы или энтузиасты.

И это не только для добычи крипты. Такие группы, как TeamTNT, также могут сдавать сервера для других целей: от DDoS-атак до хостинга нелегального контента. Неудивительно, что угрозы, такие как TeamTNT, требуют комплексной защиты.

Как защититься? 🔐

Вот несколько шагов, которые помогут вам не стать очередной жертвой TeamTNT и их «арендных» схем.

  1. Закройте доступ к Docker API 🧱 — по умолчанию Docker API открыт и доступен без авторизации. Закройте его, используя брандмауэр и ограничьте доступ только к вашим IP.
  2. Используйте аутентификацию и SSL 🔑 — настройте Docker API на работу только через защищённое соединение с аутентификацией, чтобы закрыть доступ для посторонних.
  3. Мониторинг и логирование 🕵️ — регулярно проверяйте логи Docker, чтобы быстро заметить подозрительные действия. Инструменты вроде Falco помогут отслеживать подозрительную активность.
  4. Удалите ненужные контейнеры и образы 🧽 — не храните на серверах старые и неиспользуемые контейнеры, особенно если они были загружены из публичных репозиториев. TeamTNT любят распространять вредоносные образы через Docker Hub.
  5. Обновление и патчи ⚙️ — обновляйте ПО Docker и ОС. Новые уязвимости появляются регулярно, и своевременное обновление может уберечь вас от многих угроз.
  6. Изучайте поведение контейнеров 🔍 — следите за использованием ресурсов, чтобы быстро заметить скачок в потреблении процессора или памяти, что может сигнализировать о криптомайнинге.

Подводим итоги: зло внутри облаков ☁️

TeamTNT вновь показали, что для них нет преград. Они могут захватить облачный сервер с лёгкостью и приспособить его под свои нужды. Docker, казавшийся таким простым и удобным, становится для них площадкой для очередного взлома и криптошахтёрства. И пока мы все следим за очередной новостью о взломах, TeamTNT поднимают ставку, эволюционируя свои атаки и изобретая новые способы заработка на чужих мощностях.

Вы можете думать, что это не про вас, что ваши серверы слишком мелкие, чтобы стать жертвой. Но в мире TeamTNT любая мощность — это актив, и если у вас есть сервер, они могут найти способ заставить его работать на себя. Так что сделайте себе одолжение: проверьте свои Docker-окружения, усилите защиту и не забывайте о постоянном мониторинге. Иначе ваш сервер, ваше время и ваши ресурсы могут оказаться в чьих-то жадных руках, добывающих крипту для кого-то ещё. 💻🪙

October 28, 2024, 11:30
0 views
0 reactions
0 reposts