ClickCease TeamTNT Kryptojacking-Angriffe: Docker-Umgebungen im Visier - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

TeamTNT Kryptojacking-Angriffe: Docker-Umgebungen im Visier

von Wajahat Raja

4. November 2024. TuxCare-Expertenteam

Wie aus jüngsten Medienberichten, TeamTNT Kryptojacking-Angriffe vorherrschend, wobei die native Cloud-Umgebung ein Hauptziel ist. Das eigentliche Ziel dieser Angriffe ist es, Kryptowährungen zu schürfen und die angegriffenen Server an Dritte zu vermieten. In diesem Artikel werden wir uns mit den Details dieser Angriffe befassen und erfahren, wie die Hacker Docker nutzen. Fangen wir an!

Enthüllung von TeamTNT 

TeamTNT ist eine Gruppe von Bedrohungsakteuren, die seit Oktober 2019 aktiv ist. In dieser Zeit haben sie vor allem Cloud- und Container-Umgebungen ins Visier genommen. Nachdem sie diese Ressourcen kompromittiert hat, nutzt die Bedrohungsgruppe sie, um Krypto-Miner in den Zielumgebungen einzusetzen. 

TeamTNT ist im Vergleich zu anderen Online-Bedrohungen, die auf Cloud-Umgebungen abzielen, relativ neu. Was die Angriffstaktiken betrifft, so verwenden die TeamTNT-Bedrohungsakteure ähnliche Methoden wie andere Gruppen. Ihre Präsenz in den sozialen Medien und ihre Neigung zur Selbstdarstellung sind jedoch ein entscheidender Faktor. 

Es wird vermutet, dass die Hackergruppe in Deutschland ansässig ist, da die Beiträge auf ihrem X-Handle sowohl auf Englisch als auch auf Deutsch verfasst sind. Darüber hinaus wird die Gruppe mit dem ersten Crypto-Mining-Wurm in Verbindung gebracht, der AWS-Zugangsdaten stiehlt, sowie mit Hildegard Kryptojacking Malware in Verbindung gebracht. Sie haben im Februar 2021 eine Angriffskampagne gegen Docker und Kubernetes gestartet.

Die Angriffskampagne konzentrierte sich auf die Verwendung einer Sammlung von Container-Images, die in Docker Hub gehostet wurden. Diese Container-Images zielten auf einen falsch konfigurierten Docker-Daemon, Weave Scope und Kubeflow-Dashboards ab, um böswillige Absichten zu verfolgen, darunter: 

  • Öffnen von Hintertüren. 
  • Mining von Kryptowährungen. 
  • Diebstahl von Cloud-Anmeldedaten. 
  • Starten eines Wurms, um das nächste Opfer zu bestimmen. 

Neueste TeamTNT Crypojacking-Angriffe

Die jüngsten TeamTNT Kryptojacking-Angriffe des Bedrohungsakteurs sind ein Beweis für die Fähigkeit der Gruppe, ihre Ausdauer zu bewahren und gleichzeitig ihre Techniken weiterzuentwickeln. Während dieser TeamTNT-Kryptojacking-Angriffe waren die Hacker in der Lage, mehrstufige Angriffe durchzuführen, die Docker-Umgebungen kompromittieren und sie in einen Docker-Schwarm einbinden.

Assaf Morag, Director of Threat Intelligence bei Aqua, einem Unternehmen für Cloud-Sicherheit, hat Einblicke in diese Angriffe gewährt erklärt das:

"Die Gruppe hat es derzeit auf exponierte Docker-Daemons abgesehen, um Sliver-Malware, einen Cyberwurm und Cryptominers zu verbreiten, wobei sie kompromittierte Server und Docker Hub als Infrastruktur für die Verbreitung ihrer Malware nutzt."

Diese Erkenntnisse haben zur Folge, dass die Hacker für Cryptocurrency-Mining-Malware ähnliche Angriffstaktiken anwenden wie bei ihrer bösartigen Initiative im Februar 2021. Allerdings ist ein bemerkenswerter Aspekt der jüngsten TeamTNT-Kryptojacking-Angriffe ist die Diversifizierung ihrer Monetarisierungsstrategie.

Berichten zufolge hat die Gruppe Docker Hub zum Hosten und Verteilen der bösartigen Nutzlasten verwendet. Darüber hinaus haben sie aber auch die Rechenleistung der kompromittierten Ziele anderen Dritten angeboten. Diese Rechenleistung wird dann für das illegale Mining von Kryptowährungen verwendet. Zum Verleih von Mining-Rigs erklärte Morag, dass: 

"Sie vermieten auch die Rechenleistung der Opfer an Dritte und verdienen so indirekt Geld mit Kryptomining, ohne es selbst verwalten zu müssen."

Docker Cryptojacking-Angriff Erste Entdeckung 

Diese TeamTNT Kryptojacking-Angriffe wurden ursprünglich im Oktober von Datadog, einem Anbieter von Cloud-Überwachungsdiensten, entdeckt und veröffentlicht. In der ersten Offenlegung wurde betont, dass infizierte Docker Instanzen angegriffen wurden.

Das Ziel dieser böswilligen Initiativen war es, sie in einen Docker-Schwarm einzubinden. Auf der Grundlage dieser Taktiken wurde festgestellt, dass die Docker-Kryptojacking-Angriffskampagne das Werk von TeamTNT ist. 

Bevor wir uns näher mit den Einzelheiten befassen, sei darauf hingewiesen, dass das gesamte Ausmaß der Operation bisher nicht bekannt war. In Medienberichten werden Experten zitiert, die behaupten, die Infrastruktur der TeamTNT Kryptojacking-Angriffe in einem frühen Stadium entdeckt wurde.

Sowohl die erste Entdeckung als auch die Aufdeckung sind für die Entwicklung einer Cybersicherheitsstrategie zum Schutz vor solchen Bedrohungen von entscheidender Bedeutung. Die Aufdeckung kann jedoch den Bedrohungsakteur alarmieren und ihn dazu zwingen, seine Angriffstaktik zu ändern. 

Cryptocurrency Mining Malware-Angriff Details 

Bevor wir auf die Details der Angriffe eingehen, sollten wir darauf hinweisen, dass die aktuellen TeamTNT Kryptojacking-Angriffe den Beginn der Cloud-Angriffsinfrastruktur der Gruppe markieren. Ab sofort nutzt die Hackergruppe sowohl kompromittierte Webserver als auch Docker Hub-Registrierungen für verschiedene böswillige Initiativen, darunter:

  • Verbreitung von Malware. 
  • Einsatz von Krypto-Minern.
  • Vermietung von Rechenleistung. 

TeamTNT greift Komponenten an  

Seit der Gründung der Gruppe, TeamTNT Kryptojacking-Angriffe auf die Verwendung von vier Schlüsselkomponenten konzentriert, darunter:

  1. Seitliche Bewegungen

TeamTNT-Bedrohungsakteure sind in der Lage, sich sowohl lokal als auch extern zu bewegen, um ihre Erkennungs- und Infektionsmethoden zu verbessern. Um dies während TeamTNT-Kryptojacking-Angriffenverwenden die Bedrohungsakteure Tools wie Masscan und ZGrab.

  1. Ressourcen-Hijacking 

Die jüngsten TeamTNT Kryptojacking-Angriffe konzentrieren sich auf den Einsatz des Krypto-Miners. Auf diese Weise können sie eine gezielte Infrastruktur kontrollieren oder erwerben, die dann an andere vermietet wird, wodurch die Betriebskosten für die Hackergruppe sinken.

  1. Kommando und Kontrolle (C2) 

In dieser Angriffskampagne wurde TeamTNT bei der Verwendung der Sliver-Malware beobachtet. Es ist möglich, dass diese als Ersatz für die zuvor verwendete Tsunami-Malware dient. Die frühere Malware konnte von Forschern infiltriert werden und ermöglichte ihnen, Erkenntnisse zu gewinnen, was man von der Sliver-Malware nicht behaupten kann.

  1. Cloud-Tools 

Die Hackergruppe ist dafür bekannt, dass sie mit Cloud-nativen Tools experimentiert, die auf Open-Source-Software (OSS) und offensiven Sicherheitstools (OSTs) basieren. Während der jüngsten TeamTNT Kryptojacking-Angriffeverwendet die Gruppe:

  • DockerHub zum Speichern und Verteilen von Malware 
  • Silver Malware zur Erlangung von Kontrolle und Ausnutzung. 

TeamTNT Kryptojacking-Angriffskette

Cybersecurity-Experten untersuchen die meisten TeamTNT Kryptojacking-Angriffe haben gemeinsame Techniken hervorgehoben, die in der gesamten Kampagne vorherrschen. Es ist erwähnenswert, dass die Angriffskette der Cybercrime-Gruppe in verschiedene Kategorien mit einer oder mehreren Aktionen unterteilt wurde. Zu diesen Kategorien und Aktionen gehören:

Bühne  Aktion(en) Einzelheiten
Erster Zugang Öffentlich zugängliche Anwendung ausnutzen Der anfängliche Zugriff erfolgt durch die Ausnutzung offener Docker-Daemons, die die Ports 2375, 2376, 4243 und 4244 umfassen.
Ausführung  Interpreter für Befehle und Skripte Bedrohungsakteure führen das Anfangsskript aus, "TDGGinit.sh", aus. auf den kompromittierten Systemen aus.
Persistenz Ändern der Cloud Compute-Infrastruktur - Erstellen einer Cloud-Instanz Docker- und Dockerswarm-Binärdateien und aktiv exponierte Docker-Instanzen werden in einen Docker-Swarm heruntergeladen, um einen konsistenten Zugriff und Kontrolle zu gewährleisten. 
Verteidigung Umgehung Ausbeutung zur Umgehung der Verteidigung Sliver-Malware wird verwendet, um die Erkennung zu umgehen, da sie dynamisch mit binären Verschlüsselungsschlüsseln kompiliert wird.
Maskerade Hacker verwenden Namen wie "Chimaera" um der Entdeckung zu entgehen und sich als legitime Infrastruktur und Prozesse auszugeben.
Rootkit Experten haben das "Prochider-Rootkit" gefunden, das die Hacker bei früheren Gelegenheiten verwendet haben.
Berechtigungsnachweise Zugang Ungesicherte Berechtigungsnachweise Es wird eine lokale Suche nach Schlüsseln und Zugangsdaten durchgeführt, und die Malware wird verteilt, nachdem die Zugangsdaten beschafft worden sind. 
Entdeckung Scannen von Netzwerkdiensten Tools wie masscan werden verwendet, um aktiv nach exponierten Docker-Daemons zu suchen. 
Fernerkundung von Systemen Lokale Scans werden auch durchgeführt, um weitere Systeme zu finden, die kompromittiert werden können. 
Befehl und Kontrolle Webdienst - Dead Drop Resolver Docker Hub und Webserver werden für die Speicherung und Verteilung der Malware verwendet. 
Protokoll der Anwendungsschicht - DNS Die Sliver-Malware wird zur Aufrechterhaltung der C2-Kommunikation verwendet. 
Vollmacht Die C2-Kommunikation wird durch legitime Kanäle getunnelt, da sie so einer Entdeckung entgehen kann. 
Auswirkungen  Ressourcen-Hijacking Die Bedrohungsakteure setzen entweder einen Krypto-Miner ein oder verkaufen die Rechenleistung. 

Schlussfolgerung

TeamTNT Kryptojacking-Angriffe auf Docker-Umgebungen zeigen die Hartnäckigkeit und die sich weiterentwickelnden Techniken der Gruppe. Durch die Ausnutzung von Schwachstellen in der Cloud-Infrastruktur schürfen sie nicht nur Kryptowährung, sondern verkaufen auch kompromittierte Ressourcen, was den dringenden Bedarf an robuste Sicherheitspraktiken um containerisierte Umgebungen zu schützen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Aqua.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!