Οι ερευνητές ασφάλειας της AT&T Alien Labs ανακάλυψαν ότι η ομάδα TeamTNT αναβάθμισε το Linux crypto-mining με δυνατότητες διαφυγής ανίχνευσης ανοιχτού κώδικα.
Η TeamTNT είναι κυρίως γνωστή για τη στόχευση και την παραβίαση “docker instances” που εκτελούνται στο διαδίκτυο για μη εξουσιοδοτημένη εξόρυξη κρυπτονομισμάτων Monero (XMR).
Ωστόσο, η ομάδα έχει επίσης αλλάξει τακτική ενημερώνοντας το cryptojacking malware που ονομάζεται Black-T για να συλλέξει επίσης user credentials από μολυσμένους servers.
Η TeamTNT αναβάθμισε περαιτέρω το malware για να αποφύγει τον εντοπισμό αφού μολύνει και αναπτύξει κακόβουλα coinminer payloads σε συσκευές Linux.
“Η ομάδα χρησιμοποιεί ένα νέο εργαλείο αποφυγής εντοπισμού, που αντιγράφεται από ανοιχτού κώδικα repositories“, λέει ο ερευνητής ασφάλειας Ofer Caspi σε μια έκθεση που δημοσιεύθηκε σήμερα.
Αυτό το εργαλείο είναι γνωστό ως libprocesshider και είναι ένα εργαλείο ανοιχτού κώδικα διαθέσιμο στο Github, το οποίο μπορεί να χρησιμοποιηθεί για την απόκρυψη οποιασδήποτε διαδικασίας Linux με τη βοήθεια του ld preloader.
«Ο στόχος του νέου εργαλείου είναι να αποκρύψει την κακόβουλη διαδικασία από προγράμματα process information όπως το “ps” και το “lsof”», πρόσθεσε ο Caspi.
Το εργαλείο ανίχνευσης αποφυγής αναπτύσσεται σε μολυσμένα συστήματα ως ένα κωδικοποιημένο base64 bash script ενσωματωμένο μέσα στο TeamTNT ircbot ή το cryptominer binary.
Μόλις “τοποθετηθεί” το script σε έναν υπολογιστή που έχει παραβιαστεί, θα εκτελέσει μια σειρά από εργασίες που θα του επιτρέψουν να:
- Τροποποιήσει το network DNS configuration.
- Ρυθμίσει το persistence μέσω του systemd.
- Ενεργοποιήσει το νέο εργαλείο ως υπηρεσία.
- Κατεβάσει το πιο πρόσφατο IRC bot configuration.
- Καθαρίσει τις σαφείς ενδείξεις δραστηριοτήτων που περιπλέκουν τις πιθανές αμυντικές ενέργειες.
Μετά από όλα τα βήματα, το malware Black-T θα διαγράψει επίσης αυτόματα όλα τα ίχνη κακόβουλης δραστηριότητας διαγράφοντας το ιστορικό bash του συστήματος.
Πηγή πληροφοριών: bleepingcomputer.com
