Группа киберпреступников TeamTNT снова активизировалась и запустила новую кампанию по криптоджекингу, нацелившись на серверы с операционной системой CentOS. По данным компании Group-IB, злоумышленники используют брутфорс-атаки через SSH для проникновения на виртуальные серверы.
После получения доступа хакеры загружают вредоносный скрипт, который отключает защитные механизмы, удаляет логи, останавливает конкурирующие процессы майнинга и препятствует восстановлению системы. В результате этой цепочки действий хакеры устанавливают руткит Diamorphine, скрывающий зловредные процессы и обеспечивающий удалённый доступ ко взломанным хостам.
С умеренной уверенностью исследователи приписывают выявленные атаки группе TeamTNT из-за схожести тактик и методов, которые использовались в её прошлых операциях. TeamTNT впервые была замечена в 2019 году за проведением незаконного майнинга криптовалют на облачных и контейнерных платформах. В 2021 году группа заявила о завершении своей деятельности, однако с 2022 года фиксируются всё новые и новые атаки, приписываемые этой группе.
В новой кампании вредоносный скрипт первым делом проверяет заражённую систему на следы других криптоджекинговых операций. Затем он отключает системы безопасности, такие как SELinux, AppArmor и файервол. Особое внимание злоумышленники уделили сервису “aliyun.service”, связанному с облачным провайдером Alibaba. Если этот сервис обнаружен, скрипт загружает команды для его удаления, освобождая ресурсы для собственных операций.
Как уже отмечалось выше, скрипт устраняет конкурентов, убивая процессы других майнеров, удаляя их контейнеры и связанные с ними образы. Для сохранения контроля за сервером злоумышленники настраивают cron-задачи, которые каждые 30 минут загружают обновления с удалённого сервера. Кроме того, они изменяют файл авторизации SSH, добавляя учётную запись с правами root для постоянного доступа.
Чтобы скрыть следы своей активности, преступники изменяют атрибуты файлов, создают учётные записи с доступом администратора и стирают историю команд.