TeamTNT تعود بقوة: هجمات تشفيرية تستهدف CentOS
وأشارت شركة الأمن السيبراني السنغافورية إلى أن البرنامج النصي الخبيث مسؤول عن تعطيل ميزات الأمان، وحذف السجلات، وإنهاء عمليات تعدين العملات المشفرة، وتثبيط جهود الاسترداد
متابعه مكسي نيوز
TeamTNT تعود بقوة….عملية التعدين الخفي المعروفة باسم تيم تي ان تي من المحتمل أن يكون قد عاد إلى الظهور كجزء من حملة جديدة تستهدف البنى التحتية للخادم الافتراضي الخاص (VPS) استنادًا إلى نظام التشغيل CentOS.
“تم الوصول الأولي عبر هجوم القوة الغاشمة لـ Secure Shell (SSH) على أصول الضحية، حيث قام ممثل التهديد بتحميل نص برمجي ضار،” هذا ما قاله باحثا Group-IB، فيتو ألفانو ونام لو فونج. قال في تقرير الاربعاء
وأشارت شركة الأمن السيبراني السنغافورية إلى أن البرنامج النصي الخبيث مسؤول عن تعطيل ميزات الأمان، وحذف السجلات، وإنهاء عمليات تعدين العملات المشفرة، وتثبيط جهود الاسترداد.
تمهد سلاسل الهجوم في نهاية المطاف الطريق لنشر برنامج Diamorphine rootkit لإخفاء العمليات الضارة، مع إعداد الوصول المستمر عن بعد إلى المضيف المخترق.
نُسبت الحملة إلى TeamTNT بثقة معتدلة، مع الإشارة إلى أوجه التشابه في التكتيكات والتقنيات والإجراءات (TTPs) التي تمت ملاحظتها.
تم اكتشاف TeamTNT لأول مرة في عام 2019، حيث قام بأنشطة تعدين غير مشروعة للعملات المشفرة عن طريق التسلل إلى البيئات السحابية والحاويات. وبينما ودع ممثل التهديد في نوفمبر 2021 بإعلان “الانسحاب النظيف”، كشفت التقارير العامة عن عدة حملات قام بها طاقم القرصنة منذ سبتمبر 2022.
يظهر النشاط الأخير المرتبط بالمجموعة في شكل برنامج نصي لصدفة يتحقق أولاً مما إذا كانت المجموعة قد أصيبت مسبقًا بعمليات تعدين خفي أخرى، وبعد ذلك يسبق ذلك إضعاف أمان الجهاز عن طريق تعطيله SELinuxوAppArmor وجدار الحماية.
التغييرات التي تم تنفيذها على خدمة ssh |
وقال الباحثون: “يبحث البرنامج النصي عن برنامج خفي مرتبط بمزود السحابة Alibaba، المسمى aliyun.service”. “إذا اكتشف هذا البرنامج الخفي، فإنه يقوم بتنزيل برنامج bash النصي من update.aegis.aliyun.com لإلغاء تثبيت الخدمة.”
إلى جانب إيقاف جميع عمليات تعدين العملات الرقمية المتنافسة، يتخذ البرنامج النصي خطوات لتنفيذ سلسلة من الأوامر لإزالة الآثار التي تركها عمال المناجم الآخرون، وإنهاء العمليات المعبأة في حاويات، وإزالة الصور المنشورة فيما يتعلق بأي من عمال المناجم.
علاوة على ذلك، فهو يؤسس للاستمرارية من خلال تكوين وظائف cron التي تقوم بتنزيل برنامج Shell النصي كل 30 دقيقة من خادم بعيد (65.108.48(.)150) وتعديل الملف “/root/.ssh/authorized_keys” لإضافة حساب مستتر.
وأشار الباحثون إلى أنه “يقوم بإغلاق النظام عن طريق تعديل سمات الملف، وإنشاء مستخدم مستتر مع الوصول إلى الجذر، ومسح سجل الأوامر لإخفاء أنشطته”. “لا يترك ممثل التهديد أي شيء للصدفة؛ في الواقع، يقوم البرنامج النصي بتنفيذ تغييرات مختلفة داخل تكوين خدمة SSH وجدار الحماية.”