O conhecido grupo de cryptojacking conhecido como TeamTNT parece estar se preparando para uma nova campanha em larga escala visando ambientes nativos de nuvem para mineração de criptomoedas e aluguel de servidores comprometidos para terceiros.

“O grupo está atualmente visando daemons Docker expostos para implantar malwares Sliver, um worm cibernético, e criptominers, usando servidores comprometidos e Docker Hub como infraestrutura para espalhar seus malwares”, disse Assaf Morag, diretor de inteligência de ameaças da empresa de segurança em nuvem Aqua, em um relatório publicado na sexta-feira.

A atividade de ataque é mais uma vez um testemunho da persistência do ator de ameaça e de sua capacidade de evoluir suas táticas e montar ataques em várias etapas com o objetivo de comprometer ambientes Docker e incluí-los em um Docker Swarm.

Além de usar o Docker Hub para hospedar e distribuir seus payloads maliciosos, o TeamTNT foi observado oferecendo o poder computacional das vítimas para outras partes para mineração ilegal de criptomoedas, diversificando sua estratégia de monetização.

Rumores da campanha de ataque surgiram no início deste mês, quando a Datadog divulgou tentativas maliciosas de reunir instâncias Docker infectadas em um Docker Swarm, sugerindo que poderia ser obra do TeamTNT, mas sem atribuição formal. Mas a extensão total da operação não estava clara, até agora.

Morag disse ao The Hacker News que a Datadog “encontrou a infraestrutura em um estágio muito inicial” e que sua descoberta “forçou o ator de ameaça a mudar um pouco a campanha”.

Os ataques envolvem a identificação de pontos finais da API Docker não autenticados e expostos usando masscan e ZGrab e seu uso para implantação de cryptominers e venda da infraestrutura comprometida para outras partes em uma plataforma de aluguel de mineração chamada Mining Rig Rentals, efetivamente terceirizando o trabalho de gerenciá-los, um sinal da maturação do modelo de negócios ilícito.

Especificamente, isso é feito por meio de um script de ataque que escaneia os daemons Docker nas portas 2375, 2376, 4243 e 4244 em quase 16,7 milhões de endereços IP. Posteriormente, ele implanta um contêiner executando uma imagem Alpine Linux com comandos maliciosos.

A imagem, obtida de uma conta compromising do Docker Hub (“nmlm99”) sob seu controle, também executa um script de shell inicial chamado Docker Gatling Gun (“TDGGinit.sh”) para lançar atividades pós-exploração.

Uma mudança notável observada pela Aqua é a mudança do backdoor Tsunami para o framework de comando e controle (C2) de código aberto Sliver para comandar remotamente os servidores infectados.

“Nesta campanha, o TeamTNT também está usando anondns (AnonDNS ou Anonymous DNS é um conceito ou serviço projetado para fornecer anonimato e privacidade ao resolver consultas DNS), a fim de apontar para seu servidor web.”

As descobertas surgem quando a Trend Micro lança luz sobre uma nova campanha que envolveu um ataque de força bruta direcionado contra um cliente não identificado para entregar a botnet de mineração de criptomoedas Prometei.

“Prometei se espalha no sistema explorando vulnerabilidades no Protocolo de Área de Trabalho Remoto (RDP) e no Server Message Block (SMB)”, disse a empresa, destacando os esforços do ator de ameaça em estabelecer persistência, evadir ferramentas de segurança e obter acesso mais profundo à rede de uma organização por meio de despejo de credenciais e movimentação lateral.