Il noto gruppo di hacker TeamTNT ha lanciato una nuova serie di attacchi cloud mirati all'estrazione di criptovalute, sfruttando ambienti nativi del cloud e noleggiando server compromessi a terzi. Questo gruppo, famoso per il cryptojacking, sta prendendo di mira i demoni Docker esposti per distribuire il malware Sliver, un worm cibernetico e criptominatori, utilizzando server compromessi e Docker Hub come infrastruttura per diffondere il loro malware. Secondo un rapporto di Assaf Morag, direttore dell'intelligence sulle minacce presso Aqua, il gruppo continua a dimostrare la propria persistenza e capacità di evolvere le proprie tattiche, lanciando attacchi multi-fase con l'obiettivo di compromettere gli ambienti Docker e arruolarli in uno Docker Swarm.

Oltre a usare Docker Hub per ospitare e distribuire i payload malevoli

TeamTNT offre la potenza computazionale delle vittime ad altre parti per l'estrazione illecita di criptovalute, diversificando così la propria strategia di monetizzazione. Le prime avvisaglie di questa campagna di attacco sono emerse questo mese quando Datadog ha rilevato tentativi malevoli di aggregare istanze Docker infette in uno Docker Swarm, facendo ipotizzare che potesse trattarsi di TeamTNT senza però riuscire a fornire un'attribuzione formale. Morag ha dichiarato che Datadog ha trovato l'infrastruttura in una fase iniziale, costringendo il gruppo a modificare parzialmente la campagna.

Gli attacchi prevedono l'identificazione di endpoint API Docker non autenticati ed esposti utilizzando masscan e ZGrab, che vengono poi utilizzati per il dispiegamento di criptominatori e per vendere l'infrastruttura compromessa su una piattaforma di noleggio chiamata Mining Rig Rentals, trasferendo a terzi la gestione delle risorse. Questo avviene tramite uno script di attacco che scansiona i demoni Docker sulle porte 2375, 2376, 4243 e 4244 su circa 16,7 milioni di indirizzi IP, distribuendo successivamente un container con un'immagine Linux Alpine contenente comandi malevoli. L'immagine, recuperata da un account Docker Hub compromesso sotto il controllo del gruppo, esegue uno script iniziale denominato Docker Gatling Gun per avviare attività post-sfruttamento.

Un cambiamento significativo osservato da Aqua è stato il passaggio dall'uso della backdoor Tsunami al framework open-source Sliver per il comando e controllo a distanza dei server infetti. Inoltre, TeamTNT continua a utilizzare convenzioni di denominazione consolidate, come Chimaera, TDGG e bioset per le operazioni di C2, rinforzando l'idea che questa sia una campagna tipica di TeamTNT. In questa campagna, TeamTNT utilizza anche anondns per dirigere al proprio server web. Queste scoperte arrivano mentre Trend Micro ha evidenziato una nuova campagna che coinvolge attacchi brute-force per distribuire il botnet di mining Prometei, sottolineando gli sforzi per stabilire persistenza e ingannare gli strumenti di sicurezza.