Docker, Sliver и AnonDNS – чем опасна новая кампания TeamTNT?

Группа TeamTNT готовится к новой крупной кампании, нацеленной на облачные среды для майнинга криптовалют и сдачи в аренду взломанных серверов третьим лицам. Эксперты AquaSec зафиксировали активность группы, которая использует уязвимые Docker-демоны для распространения вредоносного ПО и криптомайнеров.

Среди задействованных инструментов — фреймворк Sliver для управления взломанными серверами, а также различные майнеры криптовалют. Docker Hub служит для хранения и распространения вредоносных контейнеров, а заражённые машины становятся частью Docker Swarm, создавая сеть для нелегального майнинга.

Компания Datadog ранее уже предупреждала о попытках вовлечь заражённые Docker-инстансы в подобную сеть, но до сих пор не было точных доказательств, что за этим стояла TeamTNT. AquaSec подтвердила, что предыдущие расследования заставили злоумышленников скорректировать свои методы, показывая их способность адаптироваться.

Группа активно ищет открытые API Docker с помощью сканеров masscan и ZGrab. Найденные уязвимости позволяют развернуть контейнеры с вредоносными скриптами на миллионах IP-адресов. Один из таких контейнеров использует образ Alpine Linux и запускает скрипт под названием «TDGGinit.sh» для дальнейших атак. Компрометированный аккаунт Docker Hub с именем «nmlm99» служит источником этих образов.

Отличительной чертой новой кампании стало использование фреймворка Sliver вместо привычного для TeamTNT бэкдора Tsunami. Для обеспечения анонимности группа также внедрила сервис AnonDNS, чтобы скрывать DNS-запросы.

Тем временем, Trend Micro недавно сообщала о другой кампании, связанной с ботнетом Prometei, который распространяется через уязвимости RDP и SMB-протоколов. Заражённые машины подключаются к пулу для майнинга Monero, при этом владельцы даже не подозревают об использовании их ресурсов.