Специалисты ИБ-компании Cado Security обнаружили , что группировка TeamTNT, занимающаяся криптоджекингом, распространяет ранее неизвестный штамм вредоносного ПО для майнинга криптовалюты Monero на скомпрометированных системах.
Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.
Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.
Сценарий оболочки выполняет подготовительные шаги для:
- перенастройки жестких ограничений на использование ресурсов;
- предотвращения регистрации истории команд;
- приема всего входящего и исходящего трафика;
- перечисления аппаратных ресурсов;
- очистки предыдущих компрометаций перед началом атаки.
Вредоносная полезная нагрузка TeamTNT также использует метод под названием “перехват динамического компоновщика” (Dynamic linker hijacking), чтобы скрыть процесс майнера с помощью исполняемого файла общего объекта, называемого libprocesshider , который использует переменную среды LD_PRELOAD.
Постоянство достигается тремя различными способами, один из которых изменяет файл “.profile”, чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.
Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.