Aquasec'teki tehdit analistleri, Eylül ayı başından beri balkaplarında TeamTNT etkinliği belirtileri gördüler ve kötü şöhretli hack grubunun tekrar harekete geçtiğine inanmalarını sağladı.
TeamTnt, Kasım 2021'de geri döndüğünü açıkladı ve gerçekten de, o zamandan beri en çok ilişkili gözlemler, otomatik komut dosyaları gibi geçmiş enfeksiyonların kalıntılarını içeriyordu, ancak yeni yükler yoktu.
Bununla birlikte, son saldırılar TeamTnt ile bağlantılı çeşitli imzalar taşıyor ve daha önce çete tarafından konuşlandırılan araçlara güveniyor ve bu da tehdit oyuncunun muhtemelen geri dönüş yaptığını gösteriyor.
Araştırmacılar, yeni TeamTntn saldırılarında iddia edilen üç saldırı türünün kullanıldığını gözlemlediler ve en ilginç olanı, Bitcoin şifreleme çözücülerini çalıştırmak için kaçırılan sunucuların hesaplama gücünü kullanmaktır.
“Kanguru Saldırısı” olarak adlandırılan Pollard’ın Kanguru WIF çözücüsünü kullanması nedeniyle, savunmasız Docker Daemons için saldırı tarar, bir Alpineos görüntüsü dağıtır, bir komut dosyasını (“K.SH”) bırakır ve sonunda Github'dan çözücüyü getirir.
Pollard’ın Kanguru aralığı ECDLP (eliptik eğri ayrık logaritma problemi) Çözücü algoritması, Bitcoin’in kamu anahtarı kriptografisinde kullanılan SECP256K1 şifrelemesini kırma girişimidir.
Aquasec, “Bu [algoritma] dağıtımlı bir şekilde çalışacak şekilde tasarlanmıştır, çünkü algoritma anahtarı parçalara ayırır ve daha sonra yerel olarak bir metin dosyasına yazılan sonuçları toplayarak çeşitli düğümlere (saldırıya uğramış sunuculara) dağıtır,” diye açıklıyor Aquasec.
Kuantum hesaplamanın gelecekte bir noktada mevcut Bitcoin şifrelemesini kırması beklenirken, mevcut makinelerle başarmak imkansız olarak kabul ediliyor, ancak TeamTNT teoriyi yine de diğer insanların kaynaklarını kullanarak denemeye istekli görünüyor.
Muhtemelen, tehdit aktörleri sadece yakalanan sistemlerde yoğun işlemler yaparken, kanguru saldırısı tüm kutuları işaretleyerek yeni saldırı yolları, yük dağıtım ve kaçınma tespitini deniyorlar.
Aquasec tarafından gözlemlenen diğer saldırılar geçmiş TeamTNT operasyonlarına benzer, ancak şimdi bazı yeni özelliklere sahiptir.
“Cronb saldırısı” belgelenmiş rootkits, kalıcılık için cron işleri, kar için kriptominerler ve yanal hareket için araçlar kullanır. Yeni öğe, yeni C2 altyapı adreslerinin ve daha ayrıntılı veri alışverişinin ortaya çıkmasıdır.
“Ne olacak” saldırı, docker daemonları kabuk dosyası alpin görüntülerini tekrar düşürerek hedefler ve kaptan ana bilgisayara kaçmak için bir güvenlik açığından yararlanır.
Daha sonra, davetsiz misafirler ek komut dosyaları, rootkits ve bir kriptominer indirirken, aynı zamanda cronjobs ekler ve ağda SSH taramaları yaparlar.
Bu saldırıda yeni bir numara, bu senaryolar aracılığıyla tanıtıldı ve tehdit aktörlerinin mimari için CPU modeline özgü kayıtlarını değiştirerek kriptominasyon performansını optimize etmelerini sağlıyor.
İster bu saldırıları veya başka birini yürütüyor olsun, kuruluşlar bulut güvenliğini artırmalı, Docker yapılandırmasını güçlendirmeli ve mevcut tüm güvenlik güncellemelerini çok geç olmadan uygulamalıdır.
Windows kötü amaçlı yazılım, algılamadan kaçmak için Coinminer'ın bir aya kadar kurulumunu geciktirir
CISA: Hackerlar onları kullandığında değil, kuantum bilgisayarlara hazırlanın
Yeni aralıklı şifreleme taktiğine geçiş fidye yazılımı çeteleri
Şifrelenmiş bir zip dosyası iki doğru şifre olabilir - işte bu yüzden
241 npm ve pypi paketleri Linux kriptominerleri düşürerek yakalandı
Kaynak: Bleeping Computer