Napadi TeamTNT ciljajo na CentOS VPS strežnike v novi fazi napadov
V zadnjem času je tehnološki napredek na področju računalništva v oblaku poenostavil IT operacije, vendar je prinesel tudi nove varnostne izzive.
Skupina TeamTNT izkorišča ranljivosti v storitvah v oblaku (AWS, Azure itd.) in orodjih za kontejnerizacijo (Docker, Kubernetes) za krajo poverilnic, nameščanje zadnjih vrat, rudarjenje kriptovalut in kompromitiranje javnih virov.
Sofisticirani napadi skupine TeamTNT so se začeli leta 2019 in nadaljevali v letih 2023 in 2024, kljub njihovemu izginotju iz družbenih medijev v letu 2022.
Potek napadov na oblačno infrastrukturo VPS
Njihovi nadaljnji napadi ciljajo na oblačno infrastrukturo VPS, ki temelji na CentOS, z večstopenjskim procesom, ki se začne s SSH bruteforce napadi za pridobitev nepooblaščenega dostopa.
Ko vdrejo v sistem, naložijo zlonamerne skripte, ki onemogočijo varnostne ukrepe, izbrišejo dnevnike, spremenijo sistemske datoteke, in tudi odstranijo obstoječe procese rudarjenja kriptovalut, odstranijo Docker kontejnerje in preusmerijo DNS na Googlove strežnike.
Za ohranitev prisotnosti in nadzora, napadalci namestijo rootkit Diamorphine in uporabljajo prilagojena orodja, ter zaklenejo sistem s spreminjanjem atributov datotek, ustvarjanjem zadnjih vrat za uporabnike in brisanjem zgodovine ukazov, da prikrijejo svoje aktivnosti.
Skripta preveri obstoječe rudarje in onemogoči varnostne ukrepe, kot so firewall in SELinux. Prav tako poišče procese rudarjenja kriptovalut in jih ustavi z uporabo različnih podpisov.
Deluje tudi z Dockerjem, da odstranijo kontejnerizirane rudarje in spremeni DNS konfiguracijo. Naloženo je prilagojeno orodje z imenom “tntrecht” za spreminjanje dovoljenj legitimnih procesov.
Novi napadi na CentOS VPS
Odkrita je bila nova kampanja, ki cilja na infrastrukturo VPS v oblaku, temelječo na operacijskem sistemu CentOS, kjer napadalec pridobi začetni dostop prek SSH bruteforce napadov in naloži zlonamerno skripto.
Skripta prav tako vzpostavi trajnost z urejanjem crontab datotek za izvajanje zlonamerne kode vsakih 30 minut, in prenese zlonamerno tovorno datoteko z oddaljenega strežnika ter jo vstavi v crontab, pri čemer se skriva s časovnim žigom, da se izogne odkrivanju.
Namesti rootkit z imenom Diamorphine, ki je modul jedra zasnovan za skrivanje zlonamernih aktivnosti in podeljevanje privilegijev superuporabnika. Ključne značilnosti rootkita vključujejo tiho izvajanje, skrivanje/razkrivanje procesov, povišanje privilegijev in nevidnost datotek/map.
Izboljšanje nadzora nad kompromitiranim sistemom
Napadalec, potem ko kompromitira sistem, dodatno izboljša svoj nadzor z zaklepom sistemskih datotek in onemogočanjem poskusov obnovitve z uporabo ukaza chattr in orodja tntrecht.
Ohranijo trajni dostop z namestitvijo uporabnika zadnjih vrat s root privilegiji in konfiguracijo SSH avtentikacije preko javnega ključa. Da bi se izognili odkritju, spremenijo SSH port, pravila firewalla in izbrišejo zgodovino bash.
Kdo stoji za napadi?
Analiza s strani
