Η cryptojacking εκστρατεία, γνωστή ως TeamTNT, φαίνεται ότι επανεμφανίστηκε στο πλαίσιο μιας νέας καμπάνιας που στοχεύει σε υποδομές εικονικού ιδιωτικού διακομιστή (VPS) που βασίζονται στο λειτουργικό σύστημα CentOS.

«Η αρχική πρόσβαση επιτεύχθηκε μέσω μιας brute force επίθεσης Secure Shell (SSH) στα περιουσιακά στοιχεία του θύματος, όπου ο χάκερ ανέβασε ένα κακόβουλο script», ανέφεραν οι ερευνητές της Group-IB, Vito Alfano και Nam Le Phuong, σε report της Τετάρτης.

Διαβάστε ακόμη: Cryptojacking: Η νέα απειλή για τους υπολογιστές

Το κακόβουλο script, σύμφωνα με την εταιρεία κυβερνοασφάλειας της Σιγκαπούρης, είναι υπεύθυνο για την απενεργοποίηση λειτουργιών ασφαλείας, τη διαγραφή αρχείων καταγραφής, τον τερματισμό διαδικασιών εξόρυξης κρυπτονομισμάτων και την αναστολή προσπαθειών ανάκτησης.

Οι αλυσίδες επιθέσεων (supply chain) ανοίγουν τελικά τον δρόμο για την ανάπτυξη του rootkit Diamorphine, το οποίο αποκρύπτει κακόβουλες διεργασίες ενώ επιτρέπει την επίμονη απομακρυσμένη πρόσβαση στον παραβιασμένο κεντρικό υπολογιστή.

Η κακόβουλη εκστρατεία TeamTNT ανακαλύφθηκε για πρώτη φορά το 2019, αναλαμβάνοντας παράνομες δραστηριότητες εξόρυξης κρυπτονομισμάτων μέσω penetration σε περιβάλλοντα cloud και περιβάλλοντα container. Παρόλο που ο χάκερ ανακοίνωσε την «παραίτηση» του τον Νοέμβριο του 2021, δημόσιες αναφορές αποκάλυψαν πολλές εκστρατείες που ανέλαβε η ίδια ομάδα χάκινγκ από τον Σεπτέμβριο του 2022.

Δείτε περισσότερα: Linux malware συμμορία εκμεταλλεύεται το Oracle Weblogic για εξόρυξη κρυπτονομισμάτων

Η πιο πρόσφατη δραστηριότητα που σχετίζεται με την εκστρατεία εκδηλώνεται μέσω ενός shell script, το οποίο αρχικά ελέγχει αν έχει μολυνθεί προηγουμένως από άλλες λειτουργίες κρυπτογράφησης. Στη συνέχεια, προχωρά στην υποβάθμιση της ασφάλειας της συσκευής απενεργοποιώντας το SELinux, το AppArmor και το τείχος προστασίας (firewall)

.

«Το script αναζητά ένα “δαιμόνιο” που σχετίζεται με τον πάροχο cloud Alibaba, ονόματι aliyun.service», αναφέρουν οι ερευνητές. «Εάν εντοπίσει αυτόν τον “δαιμόνιο”, κατεβάζει ένα bash script από το update.aegis.aliyun.com για να απεγκαταστήσει την υπηρεσία.»

Διαβάστε σχετικά: Alibaba: Κυκλοφόρησε πάνω από 100 open-source μοντέλα AI

Εκτός από την εξάλειψη όλων των ανταγωνιστικών διεργασιών εξόρυξης κρυπτονομισμάτων, το script προβαίνει σε μια σειρά εντολών προκειμένου να αφαιρέσει τα ίχνη που αφήνουν άλλοι miners (εξορύκτες), να τερματίσει τις διαδικασίες σε container περιβάλλοντα και να διαγράψει εικόνες σχετικές με τυχόν miners κρυπτονομισμάτων.

Επιπλέον, καθιερώνει την επιμονή του δημιουργώντας cron jobs που εκτελούν λήψη του shell script κάθε 30 λεπτά από έναν απομακρυσμένο διακομιστή (65.108.48[.]150) και τροποποιώντας το αρχείο “/root/.ssh/authorized_keys” για να προσθέσει έναν λογαριασμό backdoor.

«Κλειδώνει το σύστημα τροποποιώντας τα χαρακτηριστικά του αρχείου, δημιουργεί έναν χρήστη backdoor με δικαιώματα root και διαγράφει το ιστορικό εντολών για να κρύψει τις δραστηριότητές του», σημειώνουν οι ερευνητές. «Ο χάκερ δεν αφήνει τίποτα στην τύχη· πράγματι, το script εφαρμόζει διάφορες αλλαγές στη διαμόρφωση της υπηρεσίας SSH και του τείχους προστασίας.»

Διαβάστε επίσης: Το PAM του Linux καταχράται για τη δημιουργία backdoors

Πηγή: thehackernews