• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Специалисты обнаружили следы активности TeamTNT на своих ханипотах

Пригоршня

Штурман
Бродяга
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 4ч 33м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

В начале сентября этого года специалисты из AquaSec обнаружили свежие следы TeamTNT на своих ханипотах. Пускай зафиксированные атаки и были разными, но по стилю и набору используемых инструментов они очень напоминали TeamTNT. Это навело специалистов на печальные мысли – возможно, группировка снова в деле.

Всего эксперты заметили три разных вида атаки:
  • Атака кенгуру. Она названа так из-за использования метода кенгуру Полларда. Эта атака нацелена на использование вычислительных мощностей жертвы для взлома алгоритма на эллиптических кривых (ECDLP secp256k1). Эксперты отмечают, что если алгоритм удастся взломать, то хакеры получат возможность получить ключи от любого криптокошелька. Работает все так: злоумышленники ищут уязвимые демоны Docker, затем разворачивают на них стандартный образ контейнера AlpineOS, который потом используется для загрузки shell-скрипта в режиме командной строки на C&C.
  • Атака Cronb. В ходе нее используются руткиты, задания Cron, инструменты, необходимые для бокового перемещения в системе, а также развертываются криптомайнеры. Новыми элементами в этой атаке стали свежие адреса C&C-инфраструктуры и усложненный механизм обмена данными.
  • Атака What Will Be. Она нацелена на демоны Docker с образами Alpine и shell-файлами. Обнаружив цель, злоумышленники загружают и выполняют дополнительные скрипты, руткиты и криптомайнер, а также добавляют задания Cron и выполняют SSH-сканирование сети. Кроме того, в ходе атаки злоумышленники используют новый прием, вводя его через скрипты. Он позволяет хакерам заставить криптомайнер работать еще эффективнее путем изменения регистров процессора, характерных для его архитектуры.
Независимо от того, кто проводит эти атаки – TeamTNT или другая группировка, эксперты рекомендуют организациям следует усилить защиту облака, укрепить конфигурацию Docker и применить все доступные обновления безопасности, пока не стало слишком поздно.
 
Сверху