TeamTNT Kryptojacking-Angriffe: Docker-Umgebungen im Visier
Wie aus jüngsten Medienberichten, TeamTNT Kryptojacking-Angriffe vorherrschend, wobei die native Cloud-Umgebung ein Hauptziel ist. Das eigentliche Ziel dieser Angriffe ist es, Kryptowährungen zu schürfen und die angegriffenen Server an Dritte zu vermieten. In diesem Artikel werden wir uns mit den Details dieser Angriffe befassen und erfahren, wie die Hacker Docker nutzen. Fangen wir an!
Enthüllung von TeamTNT
TeamTNT ist eine Gruppe von Bedrohungsakteuren, die seit Oktober 2019 aktiv ist. In dieser Zeit haben sie vor allem Cloud- und Container-Umgebungen ins Visier genommen. Nachdem sie diese Ressourcen kompromittiert hat, nutzt die Bedrohungsgruppe sie, um Krypto-Miner in den Zielumgebungen einzusetzen.
TeamTNT ist im Vergleich zu anderen Online-Bedrohungen, die auf Cloud-Umgebungen abzielen, relativ neu. Was die Angriffstaktiken betrifft, so verwenden die TeamTNT-Bedrohungsakteure ähnliche Methoden wie andere Gruppen. Ihre Präsenz in den sozialen Medien und ihre Neigung zur Selbstdarstellung sind jedoch ein entscheidender Faktor.
Es wird vermutet, dass die Hackergruppe in Deutschland ansässig ist, da die Beiträge auf ihrem X-Handle sowohl auf Englisch als auch auf Deutsch verfasst sind. Darüber hinaus wird die Gruppe mit dem ersten Crypto-Mining-Wurm in Verbindung gebracht, der AWS-Zugangsdaten stiehlt, sowie mit Hildegard Kryptojacking Malware in Verbindung gebracht. Sie haben im Februar 2021 eine Angriffskampagne gegen Docker und Kubernetes gestartet.
Die Angriffskampagne konzentrierte sich auf die Verwendung einer Sammlung von Container-Images, die in Docker Hub gehostet wurden. Diese Container-Images zielten auf einen falsch konfigurierten Docker-Daemon, Weave Scope und Kubeflow-Dashboards ab, um böswillige Absichten zu verfolgen, darunter:
- Öffnen von Hintertüren.
- Mining von Kryptowährungen.
- Diebstahl von Cloud-Anmeldedaten.
- Starten eines Wurms, um das nächste Opfer zu bestimmen.
Neueste TeamTNT Crypojacking-Angriffe
Die jüngsten TeamTNT Kryptojacking-Angriffe des Bedrohungsakteurs sind ein Beweis für die Fähigkeit der Gruppe, ihre Ausdauer zu bewahren und gleichzeitig ihre Techniken weiterzuentwickeln. Während dieser TeamTNT-Kryptojacking-Angriffe waren die Hacker in der Lage, mehrstufige Angriffe durchzuführen, die Docker-Umgebungen kompromittieren und sie in einen Docker-Schwarm einbinden.
Assaf Morag, Director of Threat Intelligence bei Aqua, einem Unternehmen für Cloud-Sicherheit, hat Einblicke in diese Angriffe gewährt erklärt das:
"Die Gruppe hat es derzeit auf exponierte Docker-Daemons abgesehen, um Sliver-Malware, einen Cyberwurm und Cryptominers zu verbreiten, wobei sie kompromittierte Server und Docker Hub als Infrastruktur für die Verbreitung ihrer Malware nutzt."
Diese Erkenntnisse haben zur Folge, dass die Hacker für Cryptocurrency-Mining-Malware ähnliche Angriffstaktiken anwenden wie bei ihrer bösartigen Initiative im Februar 2021. Allerdings ist ein bemerkenswerter Aspekt der jüngsten TeamTNT-Kryptojacking-Angriffe ist die Diversifizierung ihrer Monetarisierungsstrategie.
Berichten zufolge hat die Gruppe Docker Hub zum Hosten und Verteilen der bösartigen Nutzlasten verwendet. Darüber hinaus haben sie aber auch die Rechenleistung der kompromittierten Ziele anderen Dritten angeboten. Diese Rechenleistung wird dann für das illegale Mining von Kryptowährungen verwendet. Zum Verleih von Mining-Rigs erklärte Morag, dass:
"Sie vermieten auch die Rechenleistung der Opfer an Dritte und verdienen so indirekt Geld mit Kryptomining, ohne es selbst verwalten zu müssen."
Docker Cryptojacking-Angriff Erste Entdeckung
Diese TeamTNT Kryptojacking-Angriffe wurden ursprünglich im Oktober von Datadog, einem Anbieter von Cloud-Überwachungsdiensten, entdeckt und veröffentlicht. In der ersten Offenlegung wurde betont, dass infizierte Docker Instanzen angegriffen wurden.
Das Ziel dieser böswilligen Initiativen war es, sie in einen Docker-Schwarm einzubinden. Auf der Grundlage dieser Taktiken wurde festgestellt, dass die Docker-Kryptojacking-Angriffskampagne das Werk von TeamTNT ist.
Bevor wir uns näher mit den Einzelheiten befassen, sei darauf hingewiesen, dass das gesamte Ausmaß der Operation bisher nicht bekannt war. In Medienberichten werden Experten zitiert, die behaupten, die Infrastruktur der TeamTNT Kryptojacking-Angriffe in einem frühen Stadium entdeckt wurde.
Sowohl die erste Entdeckung als auch die Aufdeckung sind für die Entwicklung einer Cybersicherheitsstrategie zum Schutz vor solchen Bedrohungen von entscheidender Bedeutung. Die Aufdeckung kann jedoch den Bedrohungsakteur alarmieren und ihn dazu zwingen, seine Angriffstaktik zu ändern.
Cryptocurrency Mining Malware-Angriff Details
Bevor wir auf die Details der Angriffe eingehen, sollten wir darauf hinweisen, dass die aktuellen TeamTNT Kryptojacking-Angriffe den Beginn der Cloud-Angriffsinfrastruktur der Gruppe markieren. Ab sofort nutzt die Hackergruppe sowohl kompromittierte Webserver als auch Docker Hub-Registrierungen für verschiedene böswillige Initiativen, darunter:
- Verbreitung von Malware.
- Einsatz von Krypto-Minern.
- Vermietung von Rechenleistung.
TeamTNT greift Komponenten an
Seit der Gründung der Gruppe, TeamTNT Kryptojacking-Angriffe auf die Verwendung von vier Schlüsselkomponenten konzentriert, darunter:
- Seitliche Bewegungen
TeamTNT-Bedrohungsakteure sind in der Lage, sich sowohl lokal als auch extern zu bewegen, um ihre Erkennungs- und Infektionsmethoden zu verbessern. Um dies während TeamTNT-Kryptojacking-Angriffenverwenden die Bedrohungsakteure Tools wie Masscan und ZGrab.
- Ressourcen-Hijacking
Die jüngsten TeamTNT Kryptojacking-Angriffe konzentrieren sich auf den Einsatz des Krypto-Miners. Auf diese Weise können sie eine gezielte Infrastruktur kontrollieren oder erwerben, die dann an andere vermietet wird, wodurch die Betriebskosten für die Hackergruppe sinken.
- Kommando und Kontrolle (C2)
In dieser Angriffskampagne wurde TeamTNT bei der Verwendung der Sliver-Malware beobachtet. Es ist möglich, dass diese als Ersatz für die zuvor verwendete Tsunami-Malware dient. Die frühere Malware konnte von Forschern infiltriert werden und ermöglichte ihnen, Erkenntnisse zu gewinnen, was man von der Sliver-Malware nicht behaupten kann.
- Cloud-Tools
Die Hackergruppe ist dafür bekannt, dass sie mit Cloud-nativen Tools experimentiert, die auf Open-Source-Software (OSS) und offensiven Sicherheitstools (OSTs) basieren. Während der jüngsten TeamTNT Kryptojacking-Angriffeverwendet die Gruppe:
- DockerHub zum Speichern und Verteilen von Malware
- Silver Malware zur Erlangung von Kontrolle und Ausnutzung.
TeamTNT Kryptojacking-Angriffskette
Cybersecurity-Experten untersuchen die meisten TeamTNT Kryptojacking-Angriffe haben gemeinsame Techniken hervorgehoben, die in der gesamten Kampagne vorherrschen. Es ist erwähnenswert, dass die Angriffskette der Cybercrime-Gruppe in verschiedene Kategorien mit einer oder mehreren Aktionen unterteilt wurde. Zu diesen Kategorien und Aktionen gehören:
Bühne | Aktion(en) | Einzelheiten |
Erster Zugang | Öffentlich zugängliche Anwendung ausnutzen | Der anfängliche Zugriff erfolgt durch die Ausnutzung offener Docker-Daemons, die die Ports 2375, 2376, 4243 und 4244 umfassen. |
Ausführung | Interpreter für Befehle und Skripte | Bedrohungsakteure führen das Anfangsskript aus, "TDGGinit.sh", aus. auf den kompromittierten Systemen aus. |
Persistenz | Ändern der Cloud Compute-Infrastruktur - Erstellen einer Cloud-Instanz | Docker- und Dockerswarm-Binärdateien und aktiv exponierte Docker-Instanzen werden in einen Docker-Swarm heruntergeladen, um einen konsistenten Zugriff und Kontrolle zu gewährleisten. |
Verteidigung Umgehung | Ausbeutung zur Umgehung der Verteidigung | Sliver-Malware wird verwendet, um die Erkennung zu umgehen, da sie dynamisch mit binären Verschlüsselungsschlüsseln kompiliert wird. |
Maskerade | Hacker verwenden Namen wie "Chimaera" um der Entdeckung zu entgehen und sich als legitime Infrastruktur und Prozesse auszugeben. | |
Rootkit | Experten haben das "Prochider-Rootkit" gefunden, das die Hacker bei früheren Gelegenheiten verwendet haben. | |
Berechtigungsnachweise Zugang | Ungesicherte Berechtigungsnachweise | Es wird eine lokale Suche nach Schlüsseln und Zugangsdaten durchgeführt, und die Malware wird verteilt, nachdem die Zugangsdaten beschafft worden sind. |
Entdeckung | Scannen von Netzwerkdiensten | Tools wie masscan werden verwendet, um aktiv nach exponierten Docker-Daemons zu suchen. |
Fernerkundung von Systemen | Lokale Scans werden auch durchgeführt, um weitere Systeme zu finden, die kompromittiert werden können. | |
Befehl und Kontrolle | Webdienst - Dead Drop Resolver | Docker Hub und Webserver werden für die Speicherung und Verteilung der Malware verwendet. |
Protokoll der Anwendungsschicht - DNS | Die Sliver-Malware wird zur Aufrechterhaltung der C2-Kommunikation verwendet. | |
Vollmacht | Die C2-Kommunikation wird durch legitime Kanäle getunnelt, da sie so einer Entdeckung entgehen kann. | |
Auswirkungen | Ressourcen-Hijacking | Die Bedrohungsakteure setzen entweder einen Krypto-Miner ein oder verkaufen die Rechenleistung. |
Schlussfolgerung
TeamTNT Kryptojacking-Angriffe auf Docker-Umgebungen zeigen die Hartnäckigkeit und die sich weiterentwickelnden Techniken der Gruppe. Durch die Ausnutzung von Schwachstellen in der Cloud-Infrastruktur schürfen sie nicht nur Kryptowährung, sondern verkaufen auch kompromittierte Ressourcen, was den dringenden Bedarf an robuste Sicherheitspraktiken um containerisierte Umgebungen zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Aqua.