Ερευνητές από την AquaSec έχουν εντοπίσει δραστηριότητας της TeamTNT στα honeypots τους από τις αρχές Σεπτεμβρίου, με αποτέλεσμα να πιστεύουν ότι η διαβόητη ομάδα hacking έχει επιστρέψει.
Δείτε επίσης: Hackers κλέβουν crypto λόγω ευπάθειας zero-day σε Bitcoin ATM
Η TeamTNT ανακοίνωσε ότι αποχωρεί τον Νοέμβριο του 2021 και πράγματι, οι περισσότερες σχετικές παρατηρήσεις έκτοτε αφορούσαν υπολείμματα προηγούμενων μολύνσεων όπως αυτοματοποιημένα σενάρια, αλλά όχι νέα ωφέλιμα φορτία.
Ωστόσο, οι πρόσφατες επιθέσεις φέρουν διάφορες υπογραφές που συνδέονται με την TeamTNT και βασίζονται σε εργαλεία που είχε χρησιμοποιήσει προηγουμένως η συμμορία, υποδεικνύοντας ότι είναι πιθανό να επέστρεψε.
Οι ερευνητές παρατήρησαν τρεις τύπους επιθέσεων που χρησιμοποιούνται στις υποτιθέμενες νέες επιθέσεις TeamTNT, με την πιο ενδιαφέρουσα, να χρησιμοποιεί την υπολογιστική ισχύ των διακομιστών που έχουν παραβιαστεί, για να τρέξει λύσεις κρυπτογράφησης Bitcoin.
Ονομάστηκε “Kangaroo attack“, λόγω της χρήσης του Pollard’s Kangaroo WIF solver και σαρώνει για ευάλωτους Docker Daemons, αναπτύσσει μια εικόνα AlpineOS, ρίχνει ένα σενάριο (“k.sh”) και τελικά ανασύρει τον solver από το GitHub.
Ο αλγόριθμος είναι μια προσπάθεια να σπάσει την κρυπτογράφηση SECP256K1 που χρησιμοποιείται στην κρυπτογράφηση δημόσιου κλειδιού του Bitcoin.
Δείτε ακόμα: Bitcoin: Υποχωρεί ξαφνικά μετά από τον καλύτερο μήνα της χρονιάς
Ενώ η κβαντική υπολογιστική αναμένεται να σπάσει την υπάρχουσα κρυπτογράφηση Bitcoin κάποια στιγμή στο μέλλον, θεωρείται αδύνατο να επιτευχθεί με τις τρέχουσες μηχανές, αλλά η TeamTNT φαίνεται πρόθυμη να δοκιμάσει τη θεωρία, χρησιμοποιώντας πόρους άλλων ανθρώπων.
Πιθανώς, οι φορείς απειλών απλώς πειραματίζονται με νέα μονοπάτια επίθεσης, ανάπτυξη ωφέλιμου φορτίου και αποφυγή ανίχνευσης ενώ εκτελούν εντατικές λειτουργίες σε συστήματα που έχουν παραβιαστεί.
Οι άλλες επιθέσεις που παρατηρήθηκαν από το AquaSec είναι παρόμοιες με προηγούμενες λειτουργίες της TeamTNT, αλλά τώρα διαθέτουν μερικά νέα χαρακτηριστικά.
Το “Cronb Attack” χρησιμοποιεί τεκμηριωμένα rootkits, cron jobs για επιμονή, cryptominers και εργαλεία για πλευρική κίνηση. Το νέο στοιχείο είναι η εμφάνιση νέων διευθύνσεων υποδομής C2 και πιο περίπλοκη ανταλλαγή δεδομένων.
Η επίθεση “What Will Be” στοχεύει τους Docker Daemons με το shell-file να ρίχνει ξανά εικόνες Alpine, εκμεταλλευόμενη μια ευπάθεια για να διαφύγει από το κοντέινερ στον κεντρικό υπολογιστή.
Στη συνέχεια, οι εισβολείς κατεβάζουν και εκτελούν επιπλέον scripts, rootkits και έναν cryptominer, ενώ προσθέτουν επίσης cronjob και εκτελούν σαρώσεις SSH στο δίκτυο.
Δείτε επίσης: Μήπως ο Elon Musk είναι τελικά ο ιδρυτής του Bitcoin;
Ένα νέο τέχνασμα σε αυτήν την επίθεση εισάγεται μέσω αυτών των σεναρίων, επιτρέποντας στους παράγοντες απειλής να βελτιστοποιήσουν την απόδοση της εξόρυξης τροποποιώντας τους καταχωρητές του συγκεκριμένου μοντέλου CPU.
Είτε είναι η TeamTNT που διεξάγει αυτές τις επιθέσεις είτε κάποιος άλλος, οι οργανισμοί θα πρέπει να ενισχύσουν την ασφάλεια στο cloud, να ενισχύσουν τη διαμόρφωση του Docker και να εφαρμόσουν όλες τις διαθέσιμες ενημερώσεις ασφαλείας πριν να είναι πολύ αργά.
