TeamTNT распространяет майнер, который не обнаруживается средствами защиты

Специалисты ИБ-компании Cado Security обнаружили , что группировка TeamTNT, занимающаяся криптоджекингом, распространяет ранее неизвестный штамм вредоносного ПО для майнинга криптовалюты Monero на скомпрометированных системах.

Согласно отчёту Cado Security, артефакт, загруженный на VirusTotal, имеет несколько синтаксических и семантических сходств с предыдущими полезными нагрузками TeamTNT и включает в себя идентификатор кошелька, который ранее приписывался группе.

Группировка TeamTNT, активная как минимум с 2019 года, неоднократно атаковала облачные и контейнерные среды для развертывания майнеров криптовалюты. Также известно, что хакеры запускают в систему червя для майнинга криптовалют, способного похищать учетные данные AWS.

Сценарий оболочки выполняет подготовительные шаги для:

• перенастройки жестких ограничений на использование ресурсов;
• предотвращения регистрации истории команд;
• приема всего входящего и исходящего трафика;
• перечисления аппаратных ресурсов;
• очистки предыдущих компрометаций перед началом атаки.

Вредоносная полезная нагрузка TeamTNT также использует метод под названием «перехват динамического компоновщика» ( Dynamic linker hijacking ), чтобы скрыть процесс майнера с помощью исполняемого файла общего объекта, называемого libprocesshider , который использует переменную среды LD_PRELOAD.

Постоянство достигается тремя различными способами, один из которых изменяет файл «.profile», чтобы гарантировать, что майнер продолжает работать при перезагрузке системы.

Майнинг криптовалюты в сети организации может привести к ухудшению производительности системы, повышенному энергопотреблению, перегреву оборудования и остановке сервисов. Это позволяет злоумышленникам получить доступ для дальнейших злонамеренных действий.