Ngày 16 tháng 3 năm 2023Ravie LakshmananTấn công tiền điện tử / Tấn công mạng
Nhóm cryptojacking được gọi là độiTNT bị nghi ngờ đứng sau một dòng phần mềm độc hại chưa được phát hiện trước đây được sử dụng để khai thác tiền điện tử Monero trên các hệ thống bị xâm nhập.
Đó là theo Cado Security, công ty đã tìm thấy mẫu sau khi Sysdig trình bày chi tiết về một cuộc tấn công tinh vi có tên SCARLETEEL nhằm vào các môi trường được chứa để cuối cùng đánh cắp dữ liệu và phần mềm độc quyền.
Cụ thể, giai đoạn đầu của chuỗi tấn công liên quan đến việc sử dụng một công cụ khai thác tiền điện tử mà công ty bảo mật đám mây nghi ngờ đã được triển khai như một mồi nhử để che giấu việc phát hiện việc đánh cắp dữ liệu.
Hiện vật – được tải lên VirusTotal vào cuối tháng trước – “gấu[s] một số điểm tương đồng về cú pháp và ngữ nghĩa với các tải trọng TeamTNT trước đó và bao gồm một ID ví đã được gán cho chúng trước đó”, một phân tích mới từ Cado Security đã tiết lộ.
TeamTNT, hoạt động ít nhất từ năm 2019, đã được ghi nhận là đã liên tục tấn công vào môi trường đám mây và vùng chứa để triển khai các công cụ khai thác tiền điện tử. Nó cũng được biết là giải phóng một loại sâu khai thác tiền điện tử có khả năng đánh cắp thông tin đăng nhập AWS.
Trong khi tác nhân đe dọa sẵn sàng ngừng hoạt động của chúng vào tháng 11 năm 2021, công ty bảo mật đám mây Aqua đã tiết lộ vào tháng 9 năm 2022 một loạt các cuộc tấn công mới do nhóm này thực hiện nhằm vào các phiên bản Docker và Redis bị định cấu hình sai.
Điều đó nói rằng, cũng có những dấu hiệu cho thấy các nhóm đối thủ như WatchDog có thể đang bắt chước các chiến thuật, kỹ thuật và quy trình (TTP) của TeamTNT để ngăn chặn các nỗ lực phân bổ.
Một cụm hoạt động đáng chú ý khác là Kiss-a-dog, cũng dựa trên các công cụ và cơ sở hạ tầng chỉ huy và kiểm soát (C2) trước đây được liên kết với TeamTNT để khai thác tiền điện tử.
Không có bằng chứng cụ thể để ràng buộc phần mềm độc hại mới với cuộc tấn công SCARLETEEL. Nhưng Cado Security đã chỉ ra rằng mẫu xuất hiện cùng thời điểm với báo cáo thứ hai, làm tăng khả năng đây có thể là công cụ khai thác “mồi nhử” đã được cài đặt.
Về phần mình, tập lệnh shell thực hiện các bước chuẩn bị để định cấu hình lại giới hạn cứng của tài nguyên, ngăn ghi nhật ký lịch sử lệnh, chấp nhận tất cả lưu lượng truy cập vào hoặc ra, liệt kê tài nguyên phần cứng và thậm chí dọn sạch các thỏa hiệp trước khi bắt đầu hoạt động.
Giống như các cuộc tấn công liên kết với TeamTNT khác, tải trọng độc hại cũng tận dụng một kỹ thuật được gọi là chiếm quyền điều khiển trình liên kết động để che giấu quá trình khai thác thông qua một đối tượng được chia sẻ có thể thực thi được gọi là lib processhider sử dụng biến môi trường LD_PRELOAD.
Tính bền bỉ đạt được bằng ba phương tiện khác nhau, một trong số đó sửa đổi tệp .profile để đảm bảo rằng công cụ khai thác tiếp tục chạy qua các lần khởi động lại hệ thống.
Những phát hiện này được đưa ra khi một nhóm khai thác tiền điện tử khác có tên là 8220 Gang đã được quan sát thấy đang sử dụng một loại tiền điện tử có tên là ScrubCrypt để thực hiện các hoạt động khai thác tiền điện tử bất hợp pháp.
Hơn nữa, các tác nhân đe dọa không xác định đã được phát hiện nhắm mục tiêu cơ sở hạ tầng điều phối bộ chứa Kubernetes dễ bị tổn thương bằng các API bị lộ để khai thác tiền điện tử Dero, đánh dấu sự thay đổi từ Monero.
Tháng trước, công ty an ninh mạng Morphisec cũng đã làm sáng tỏ một chiến dịch phần mềm độc hại lẩn tránh tận dụng các lỗ hổng ProxyShell trong các máy chủ microsoft exchange để loại bỏ một chủng công cụ khai thác tiền điện tử có tên mã là ProxyShellMiner.
Các nhà nghiên cứu cho biết: “Khai thác tiền điện tử trên mạng của một tổ chức có thể dẫn đến suy giảm hiệu suất hệ thống, tăng mức tiêu thụ điện năng, thiết bị quá nóng và có thể ngừng dịch vụ”. “Nó cho phép các tác nhân đe dọa truy cập cho những mục đích thậm chí còn bất chính hơn.”
