TeamTNT распространяет майнер, который не обнаруживается средствами защиты

TeamTNT распространяет майнер, который не обнаруживается средствами защиты

Ранее неизвестный штамм сохраняется даже после перезагрузки системы и остаётся невидимым.

image

Специалисты ИБ-компании Cado Security обнаружили , что группировка TeamTNT, занимающаяся криптоджекингом, распространяет ранее неизвестный штамм вредоносного ПО для майнинга криптовалюты Monero на скомпрометированных системах.

Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.

Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.

Сценарий оболочки выполняет подготовительные шаги для:

  • перенастройки жестких ограничений на использование ресурсов;
  • предотвращения регистрации истории команд;
  • приема всего входящего и исходящего трафика;
  • перечисления аппаратных ресурсов;
  • очистки предыдущих компрометаций перед началом атаки.

Вредоносная полезная нагрузка TeamTNT также использует метод под названием «перехват динамического компоновщика» (Dynamic linker hijacking), чтобы скрыть процесс майнера с помощью исполняемого файла общего объекта, называемого libprocesshider , который использует переменную среды LD_PRELOAD.

Постоянство достигается тремя различными способами, один из которых изменяет файл «.profile», чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.

Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!