Campanha de Criptojacking TeamTNT Destina Servidores CentOS com Rootkit

A operação de cryptojacking conhecida como TeamTNT provavelmente ressurgiu como parte de uma nova campanha direcionada a infraestruturas de Servidor Privado Virtual (VPS) baseadas no sistema operacional CentOS.

“O acesso inicial foi realizado através de um ataque de força bruta Secure Shell (SSH) sobre os ativos da vítima, durante o qual o ator da ameaça carregou um script malicioso”, pesquisadores do Grupo-IB Vito Alfano e Nam Le Phuong disse em um relatório de quarta-feira.

O script malicioso, observou a empresa de segurança cibernética de Cingapura, é responsável por desativar recursos de segurança, excluir logs, encerrar processos de mineração de criptomoedas e inibir os esforços de recuperação.

As cadeias de ataque, em última análise, abrem o caminho para a implantação do Rootkit diamorfina para ocultar processos maliciosos, além de configurar o acesso remoto persistente ao host comprometido.

A campanha foi atribuída à TeamTNT com confiança moderada, citando semelhanças nas táticas, técnicas e procedimentos (TTPs) observados.

A TeamTNT foi descoberta pela primeira vez na natureza em 2019, realizando atividades ilícitas de mineração de criptomoedas infiltrando-se em ambientes de nuvem e contêineres. Enquanto o ator da ameaça se despediu em novembro de 2021, anunciando uma “saída limpa”, a reportagem pública descobriu vários campanhas realizado pela equipe de hackers desde então Setembro 2022.

A atividade mais recente vinculada ao grupo se manifesta na forma de um script shell que primeiro verifica se ele foi infectado anteriormente por outras operações de cryptojacking, após o que precede a prejudicar a segurança do dispositivo desativando SELinux, AppArmor, e o firewall.

“O script procura por um daemon relacionado ao provedor de nuvem Alibaba, chamado aliyun.service”, disseram os pesquisadores. “Se ele detectar este daemon, ele baixa um script bash de update.aegis.aliyun.com para desinstalar o serviço.”

Além de matar todos os processos concorrentes de mineração de criptomoedas, o script toma medidas para executar uma série de comandos para remover vestígios deixados por outros mineradores, encerrar processos em contêiner e remover imagens implantadas em conexão com qualquer minerador de moedas.

Além disso, ele estabelece persistência configurando tarefas cron que baixam o script shell a cada 30 minutos de um servidor remoto (65.108.48[.]150) e modificando o arquivo “/root/.ssh/authorized_keys” para adicionar uma conta de backdoor.

“Ele bloqueia o sistema modificando atributos de arquivo, criando um usuário backdoor com acesso root e apagando o histórico de comandos para ocultar suas atividades”, observaram os pesquisadores. “O ator de ameaças não deixa nada ao acaso; de fato, o script implementa várias mudanças na configuração do serviço SSH e firewall.”

Fonte: thehackernews.com